17 Februari 2013

Presentasi 2

Minggu, Februari 17, 2013  ,  No comments


PAPER AUDIT DAN ANALISIS SIA
 

DISUSUN OLEH:
Nelly Fela Sobalely (682010011)
Barbara B C Seroan (682010070)
Ray Veronica H (682010080)
Ega Yolanda Kawulusan (682010057)
Christy Susanti (68201027)


FAKULTAS TEKNOLOGI INFORMASI
UNIVERSITAS KRISTEN SATYA WACANA
FEBRUARI 2013


PENDAHULUAN
a.      Latar belakang
Proses audit SI adalah prosedur terstruktur yang digunakan oleh auditor untuk menilai dan mengevaluasi efektivitas dari organisasi TI dan seberapa baik dukungannya terhadap tujuan organisasi. Proses audit ini didukung oleh kerangka kerja (framework) yang tertuang dalam kode etik, standar, pedoman, dan prosedur audit ISACA.

b.      Tujuan
Tujuan pengendalian intern adalah menjamin manajemen perusahaan agar:
·         Tujuan perusahaan yang ditetapkan akan dapat dicapai.
·         Laporan keuangan yang dihasilkan perusahaan dapat dipercaya.
·         Kegiatan perusahaan sejalan dengan hukum dan peraturan yang berlaku.
Pengendalian intern dapat mencegah kerugian atau pemborosan pengolahan sumber daya perusahaan. Pengendalian intern dapat menyediakan informasi tentang bagaimana menilai kinerja perusahaan dan manajemen perusahaan serta menyediakan informasi yang akan digunakan sebagai pedoman dalam perencanaan.

c.       Manfaat
Penulisan paper ini bermanfaat agar memberikan informasi tentang manajemen audit, Kebijakan, Standar, Prosedur, dan Pedoman menurut ISACA, Analisis Resiko and pengendalian internal.

TINJAUAN PUSTAKA

Definisi Information System Audit Manajemen
Manajemen audit adalah sebuah proses perencanaan, pengorganisasian, pengkordinasian, dan pengontrolan dalam proses audit atau pemeriksaan atau evaluasi terhadap suatu organisasi, sistem, proses atau produk yang akan diaudit.

PEMBAHASAN

Audit harus dikelola karena:
Audit harus dikelola agar hasil audit yang didapatkan sesuai dengna perencanaan dan proses audit yang ada berjalan sesuai dengan standar yang telah disetujui dan dilaksanakan secara benar, terorganisir, dan sesuai dengan jadwal.
kebijakan, standar, prosedur dan pedoman audit menurut ISACA
Standar audit ISACA mengharuskan auditor terus belajar tentang teknologi baru, bagaimana teknologi mendukung proses bisnis, dan bagaimana teknologi harus dikendalikan.
·         Pelatihan dan seminar ISACA,
·         Pelatihan materi-materi ISACA,
·         Pelatihan webminars, dll untuk meningkatkan pengetahuan auditor
Standar
 adalah pernyataan bahwa semua auditor SI diharapkan untuk mengikuti dan dapat dianggap sebagai aturan hukum untuk para auditor.
Index of IT Audit and Assurance Standards
 Effective Date
S1 Audit charter
1 January 2005
S2 Independence
1 January 2005
S3 Professional Ethics and Standards
1 January 2005
S4 Competence
1 January 2005
S5 Planning
1 January 2005
S6 Performance of Audit Work
1 January 2005
S7 Reporting
1 January 2005
S8 Follow-up Activities
1 January 2005
S9 Irregularities and Illegal Acts
1 September 2005
S10 IT Governance
1 September 2005
S11 Use of Risk Assessment in Audit Planning
1 November 2005
S12 Audit Materiality
1 July 2006
S13 Using the Work of Other Experts
1 July 2006
S14 Audit Evidence
1 July 2006
S15 IT Controls
1 February 2008
S16 E-commerce
1 Februari 2008
S1 Audit Charter
Tujuan dari IS Standar Audit adalah untuk membangun dan memberikan bimbingan mengenai Piagam Audit yang digunakan selama proses audit. Standar ini ISACA efektif untuk semua sistem informasi audit yang dimulai pada atau setelah tanggal 1 Januari 2005
S2 Independence 
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan pedoman mengenai kemerdekaan selama proses audit. Standar ini ISACA efektif untuk semua audit sistem informasi mulai 1 Januari 2005.
S3 Professional Ethics and Standards
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan memberikan panduan bagi auditor IS untuk mematuhi Kode Etik Profesional ISACA dan berhati-hati dalam melakukan profesional karena tugas audit. IS Standar Auditing yang efektif untuk semua audit sistem informasi dimulai pada 1 Januari 2005.
S4 Professional Competence
Tujuan dari IS Standar Audit adalah untuk membangun dan memberikan bimbingan sehingga IS auditor diperlukan untuk mencapai dan mempertahankan kompetensi profesional. IS Standar Auditing yang efektif untuk semua audit sistem informasi mulai 1 Januari 2005.
S5 Planning
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan memberikan panduan tentang perencanaan audit. IS Standar Auditing yang efektif untuk semua audit sistem informasi mulai 1 Januari 2005.
S6 Performance of Audit Work
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan memberikan bimbingan mengenai pelaksanaan pekerjaan audit. IS Standar Auditing yang efektif untuk semua audit sistem informasi mulai 1 Januari 2005.
S7 Reporting
Tujuan dari IS Standar Audit adalah untuk membangun dan memberikan bimbingan mengenai pelaporan sehingga auditor IS dapat memenuhi tanggung jawab ini. IS Standar Auditing yang efektif untuk semua audit sistem informasi mulai 1 Januari 2005
S8 Follow-Up Activities
Tujuan dari IS Standar Audit adalah untuk menetapkan standar dan memberikan panduan tentang tindak lanjut kegiatan yang dilakukan selama proses audit IS. IS Standar Auditing yang efektif untuk audit sistem informasi mulai 1 Januari 2005
S9 Irregularities and Illegal Acts
Tujuan dari Standar ISACA adalah untuk membangun dan memberikan bimbingan pada penyimpangan dan tindakan ilegal yang auditor IS harus mempertimbangkan selama proses audit. Standar ini ISACA efektif untuk semua sistem informasi audit yang dimulai pada atau setelah 1 September 2005.
S10 IT Governance
Tujuan standar ini ISACA adalah untuk membangun dan memberikan bimbingan pada bidang TI pemerintahan yang IS kebutuhan auditor untuk mempertimbangkan selama proses audit. Standar ini ISACA efektif untuk semua audit sistem informasi 1 September 2005.
S11 Use of Risk Assessment in Audit Planning
Tujuan dari standar ini adalah untuk menetapkan standar dan memberikan bimbingan mengenai penggunaan penilaian risiko dalam perencanaan audit. Standar ini berlaku efektif untuk IS audit dimulai pada atau setelah tanggal 1 November 2005.
S12 Audit Materiality
Tujuan dari IS standar audit adalah untuk membangun dan memberikan bimbingan pada konsep materialitas audit dan hubungannya dengan risiko audit. Standar ini ISACA efektif untuk semua IS audit yang dimulai pada atau setelah 1 Juli 2006.
S13 Using the Work of Other Experts
Tujuan dari IS Standar Audit adalah untuk membangun dan memberikan bimbingan kepada auditor IS yang menggunakan karya ahli lain pada audit. Standar ini ISACA efektif untuk semua IS audit mulai 1 Juli 2006.
S14 Audit Evidence
Tujuan dari standar ini adalah untuk menetapkan standar dan memberikan bimbingan tentang apa yang merupakan bukti audit, dan kualitas dan kuantitas bukti audit yang diperoleh oleh auditor IS. Standar ini berlaku efektif untuk audit sistem informasi mulai 1 Juli 2006.

S15 IT Controls
Tujuan standar ini ISACA adalah untuk menetapkan standar dan memberikan panduan tentang IT kontrol. Standar ini berlaku efektif untuk ISACA IS audit mulai 1 Februari 2008.
S16 E-Commerce
Tujuan standar ini ISACA adalah untuk menetapkan standar dan memberikan bimbingan mengenai review e-commerce lingkungan. Standar ini berlaku efektif untuk ISACA IS audit mulai 1 Februari 2008.

Pedoman
adalah pernyataan yang membantu auditor SI lebih memahami bagaimana standar ISACA dapat diterapkan.

Index of IT Audit and Assurance  Guidelines
 Effective Date
G1 Using the Work of Other Auditors
1 June 1998 Revised 1 March 2008
G2 Audit Evidence Requirement
1 December 1998 Revised 1 May 2008
G3 Use of Computer Assisted Audit Techniques (CAATs)
1 December 1998 Revised 1 May 2008
G4 Outsourching of IS Activities to Other Organisations
1 September 1999 Revised 1 May 2008
G5 Audit Charter
1 September 1999 Revised 1 February 2008
G6 Materiality Concepts for Auditing Information System
1 September 1999 Revised 1 May 2008
G7 Due Professional Care
1 September 1999 Revised 1 March2008
G8 Audit Documentation
1 September 1999 Revised 1 March2008
G9 Audit Considerations for Irregularities and Illegal Acts
1 March 2000 Revised  1 September 2008
G10 Audit Sampling
1 March 2000 Revised 1 August 2008
G11 Effect of Pervasive IS Controls
1 March 2000 Revised 1 August 2008
G12 Organisational Relationship and Independence
1 September 2000 Revised 1 August 2008
G13 Use of Risk Assessment in Audit Planning
1 September 2000 Revised 1 August 2008
G14 See Generic Application Audit/Assurance Program
Withdrawn 14 January 2013
G15 Audit Planning Revised
1 May 2010
G16 See Outsourced IT Enviroments Audit/Assurance Program
Withdrawn 14 January 2013
G17 Effect Of Nonaudit Role on the IT Audit and Assurance Profesional’s Independence
1 May 2010
G18 IT Governance
1 July 2002
G19 Irregularities and Illegal Acts
1 July 2002
G20 Reporting
1 January 2003 Revised 16 August 2010
G21 See Security Audit and Control Features SAP ERP 3rd Edition
Withdrawn 14 January 2013
G22 See E-commerce and PKI Audit/Assurance Program
Withdrawn 14 January 2013
G23 See Systems Development and Project Management Audit/Assurance Program
Withdrawn 14 January 2013
G24 Internet Banking
Withdrawn 14 January 2013
G25 See VPN Security Audit/Assurance Program
Withdrawn 14 January 2013
G26 Business Process Reengineering (BPR) Project Reviews
Withdrawn 14 January 2013
G27 See Mobile Computing
Withdrawn 14 January 2013
G28 Computer Forensies
Withdrawn 14 January 2013
G29 See Systems Development and Project Management Audit/Assurance Program
Withdrawn 14 January 2013
G30 Competence
1 June 2005
G31 Privace
1 June 2005  Withdrawn 14 January 2013
G32 Bussiness Continuity Plan (BCP) Review From IT Perspective
1 September 2005  Withdrawn 14 January 2013
G33 General Consideration on the Use of the Internet
1 March 2006  Withdrawn 14 January 2013
G34 Responsibility, Authority and Accountability
1 March 2006
G35 Follow-up Activities
1 March 2006

Prosedur
adalah contoh langkah-langkah yang dapat diikuti ketika audit perusahaan yang spesifik atau teknologi yang digunakan dalam SI.
Analisis resiko
adalah sebuah prosedur untuk mengenali satu ancaman dan kerentanan, kemudian menganalisanya untuk memastikan hasil pembongkaran, dan menyoroti bagaimana dampak-dampak yang ditimbulkan dapat dihilangkan atau dikurangi.


Analisis Resiko dapat dilakukan dengan cara:
§  Evaluasi Proses Bisnis
Tujuan evaluasi proses bisnis adalah untuk menentukan tujuan dan pentingnya kegiatan bisnis.
Dokumentasi proses bisnis yang tersedia harus diperoleh sebelum melakukan audit, antara lain:
§  Dokumen pernyataan visi dan misi organisasi
§  Arsitektur proses bisnis
§  Prosedur proses bisnis
§  Arsip dokumen-dokumen perusahaan
§  Sistem informasi pendukung (contoh: diagram arsitektur, prosedur komputer, diagram jaringan, skema database dan sebagainya)
§  Identifikasi Resiko Bisnis
Proses mengidentifikasi risiko bisnis adalah menggunakan sebagian analitis dan sebagian berdasarkan pengalaman dari auditor. Auditor biasanya akan melakukan analisis ancaman untuk mengidentifikasi resiko. Sebuah analisis resiko adalah kegiatan dimana auditor mempertimbangkan resiko yang mungkin terjadi dan memilih resiko-resiko tersebut yang masuk akal untuk dilakukan audit.
Bisa juga dengan cara :
a.       Menentukan ruang lingkup (scope statement).
 Hal ini harus dipercayai oleh semua kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan secara tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko yang akan digunakan, dan mengajukan hasil yang diharapkan.
b.      Menetapkan aset (asset pricing).
Pada langkah kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam ruang lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.
c.       Menentukan koefisien dampak.
Semua aset memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal sama sekali.
d.      Single loss expectancy atau ekspetasi kerugian tunggal.
Pada poin ini, aset-aset yang berbeda akan menanggapi secara berbedap pula ancaman-ancaman yang diketahui.
e.       Group evaluation atau evaluasi kelompok,
yaitu langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan ini harus terdiri dari individu yang memiliki pengetahuan tentang komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode hibrida dalam analisis resiko dilakukan.
f.       Melakukan kalkulasi (penghitungan) dan analisis.
 Terdapat dua macam analisis. Pertama, across asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset tertentu yang perlu mendapat perlindungan paling utama. Kedua, across risk, yaitu analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang paling harus dijaga.
g.      Controls atau pengendalian,
yaitu segala hal yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan ancaman serta memperbaiki sistem.
h.      Melakukan analisis terhadai control atau pengendalian.
Ada dua metode yang dapat dilakukan dalam menganalisis aksi kontrol ini, yaitu cost and benefit ratio dan risk or control.
Faktor-faktor yang mempengaruhi analisis resiko:
§  Probabilitas terjadinya
§  Dampak/kerugian yang ditimbulkan
§  Kemungkinan mengurangi pengendalian
§  Pengaruh terhadap biaya dan usaha
Pengendalian Internal
pengendalian internal merupakan rencana, metoda, prosedur, dan kebijakan yang didesain oleh manajemen untuk memberi jaminan yang memadai atas tercapainya efisiensi dan efektivitas operasional, kehandalan pelaporan keuangan, pengamanan terhadap aset, ketaatan/kepatuhan terhadap undang-undang, kebijakan dan peraturan lain.
Dapat juga berarti kebijakan, prosedur, mekanisme, sistem, dan tindakan lain yang dirancang untuk mengurangi risiko yang dikenal sebagai pengendalian internal. Pengendalian diciptakan karena memiliki dua fungsi dalam organisasi yaitu:
  • Diciptakan untuk mencapai tujuan yang diinginkan.
  • Diciptakan untuk menghindari kejadian/resiko yang tidak diinginkan.
Pengendalian interal dilakukan karena:
a. Menjaga kekayaan organisasi.
·         Penggunaan kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan
·         Pertanggung jawaban kekayaan perusahaan  yang dicatat dibandingkan dengan kekayaan yang sesungguhnya.
b. Memeriksa ketelitian dan kebenaran data akuntansi.
·         Pelaksanaan transaksi melalui sistem otorisasi yang telah ditetapkan.
·         Pencatatan transaksi yang terjadi tercatat dengan benar di dalam catatan akuntansi perusahaan.
c. Memberikan jaminan yang wajar bahwa setiap perusahaan melakukan suatu control yang dapat meminimalisasi
Bagaimana memulai kegiatan audit?
a.       Pemahaman auditor terhadap objek audit.
Objek audit meliputi keseluruhan perusahaan dan/atau kegiatan yang dikelola oleh perusahaan tersebut dalam rangka mencapai tujuannya. Untuk mencapai tujuannya, objek audit menetapkan berbagai program yang pelaksanaannya dijabarkan ke dalam berbagai bentuk kegiatan. Auditor harus mengkomunikasikan dengan atasan pengelola objek atau pemberi tugas audit tentang pemahamannya terhadap berbagai program/aktivitas objek audit untuk menghindari terjadinya kesalahpahaman. Komunikasi ini lebih efektif jika dilakukan secara tertulis, dengan meminta tanggapan pemberi tugas audit tentang hal-hal berikut :
·           Informasi yang mendukung tujuan audit.
·           Informasi yang mengarahkan ruang lingkup audit
·           Informasi yang mengarah pada tujuan audit

b.      Penentuan tujuan audit.
Tujuan audit harus mengacu pada alasan mengapa audit harus dilakukan pada objek audit dan didasarkan pada penugasan audit. Dalam merumuskan tujuannya, auditor dapat melakukannya dengan cara sebagai berikut:
·           Mengidentifikasi tujuan yang ada, yang mungkin mempunyai arti penting pada pemberi tugas.
·           Mempertimbangkan tujuan audit yang telah ditetapkan pada masa sebelumnya.
·           Membahas dengan pemberi tugas dan pengelola objek audit.

c.       Penentuan ruang lingkup dan tujuan audit.
Ruang lingkup audit menunjukkan luas(area) dari tujuan audit. Penentuan ruang lingkup audit harus mengacu pada tujuan audit yang telah ditetapkan. Secara garis besar ruang lingkup audit manajemen terdiri atas:
·         Bidang keuangan
·         Ketaatan kepada peraturan dan kebijakan perusahaan
·         Ekonomisasi
·         Efisiensi
·         Efektivitas
d.      Review terhadap peraturan dan perundang-undangan yang berkaitan dengan objek audit.
Review(penelaahan) ini bertujuan untuk memperoleh informasi tentang peraturan-peraturan yang berhubungan dengan objek audit baik bersifat umum maupun yang berhubungan khusus dengan berbagai program/aktivitas yang diselenggarakan pada objek audit. Dengan penelaahan ini auditor dapat memahami batas-batas wewenang objek audit dan berbagai program yang dilaksanakan dalam mencapai tujuannya

PUSTAKA
http://www.isaca.org/KNOWLEDGE-CENTER/STANDARDS/Pages/default.aspx
 http://manshurzikri.wordpress.com/2012/06/04/analisis-resiko-dan-beberapa-metodologinya/
http://sasteralupus.wordpress.com/2009/11/04/pengendalian-intern/
 ----------------------------------------------------------------------------------------------------------
TUGAS 2&3
AUDIT DAN ANALISIS SIA
Information Systems Security Policies, Standars, Procedures, and/or Guidelines
Audit Based on Risk Analysis



Kelompok 4 :
Fieka Amadea H  682010001
Yohanna Amelia 682010007
Juwita Artanti K 682010008
Sie, Monica Elvira 682010009
Artantia Krisnadevi 682010054

FAKULTAS TEKNOLOGI INFORMASI
UNIVERSITAS KRISTEN SATYA WACANA
2013


1.      Manajemen Audit
-          pengevaluasian terhadap efisiensi dan efektivitas operasional perusahaan.
-          investigasi dari suatu organisasi dalam semua aspek kegiatan manajemen dari yang paling tinggi sampai dengan ke bawah bawah dimulai dari perencanaan, kegiatan operasional, pengawasan, dan dan pembuatan laporan audit mengenai efektifitasnya atau dari segi profitabilitas dan efisiensi kegiatan bisnisnya.
-          bentuk pemeriksaan untuk menilai, menganalisis, meninjau ulang hasil perusahaan, apakah telah berjalan secara efektif dan efisien serta mengidentifikasi kekurangan-kekurangan dan kemudian melaksanakan pengujian penelahaan atas ketidakhematan, ketidakefisienan maupun ketidakefektifan untuk selanjutnya memberikan rekomendasi rekomendasi perbaikan demi tercapainya tujuan perusahaan.

2.      Mengelola Audit
·         Untuk memperbaiki dan mengingkatkan kegiatan, aktivitas dan program pada perusahaan baik segi ekonomisasi, efisiensi maupun efektivitasnya.
·         Untuk menilai kinerja dari manajemen dan berbagai fungsi dalam perusahaan.
·         Untuk menilai apakah berbagai sumber daya yg dimiliki perusahaan telah digunakan secara efisien dan ekonomis.
·         Untuk menilai efektifitas perusahaan dalam mencapai tujuan yg telah ditetapkan oleh top management.
·         Untuk dapat memberikan rekomendasi kepada top management dalam memperbaiki kelemahan-kelemahan yg terdapat dalam penerapan struktur pengendalian intern sistem pengendalian manajemen dan prosedur operasional perusahaan dalam rangka meningkatkan efisiensi keekonomisan dan efektifitas dari kegiatan operasi perusahaan.

3.      Kebijakan, Standar, Prosedur, dan Pedoman Audit menurut ISACA
ISACA standars, guidelines, and procedures yang secara teknis diatur dalam CObIT (Control Objectives for Information and Related Technology), meliputi :
·         CObIT executive summary
·         CObIT framework
·         CObIT Control Objectives
·         CObIT Control Practices
·         CObIT Management Guidelines
·         CObIT Security Baseline

Menurut Information Systems Audit and Control Association (ISACA) standar untuk audit system informasi adalah :
010
Audit Chapter
010.010
Responsibility, Authority and Accountability (definisi dari tanggung jawab, otoritas, dan accountibility dari fungsi audit SI lebih tepat bila didokumentasikan dalam suatu surat perjanjian)
020
Independence
020.010
Professional Independence (auditor harus bersikap independen dalam tingkah laku dan tindakannya)
020.020
Organizational Relationship (fungsi audit SI harus berada independen dari area yang diaudit untuk mencapai tujuan objektivitas dari suatu proses audit)
030
Professional Ethics and Standard
030.010
Code of Professional Ethics (auditor SI harus menghormati dan menaati etika profesional dari ISACA)
030.020
Due Professional Care (standar auditing profesional harus diterapkan dalam segala aspek pekerjaan yang dilakukan oleh auditor SI)
040
Competence
040.010
Continuing Professional Education (auditor harus memaintain kompetensi teknikal melalui pendidikan lanjut profesional)
050
Planning
050.010
Audit Planning (auditor SI harus merencanakan perencanaan audit system untuk menempatkan tujuan audit dan untuk melengkapi standar professional audit)
060
Performance of Audit Work
060.010
Supervision (staf dari audit SI harus tepat untuk dapat menjamin tujuan dari audit dijalankan dan standar professional auditing dapat terpenuhi)
060.020
Evidence (selama masa pekerjaan audit, auditor SI harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan objektif dari suatu audit)
070
Reporting
070.010
Report Content and Form (auditor SI harus menyediakan report dalam bentuk yang tepat pada saat penyelesaian tugas audit. Laporan audit berupa lingkup, tujuan, periode audit, dan lingkungan dimana audit dijalankan. Laporan audit harus mengidentifikasikan permasalahan yang terjadi dalam jangka waktu audit. Laporan audit juga untuk memberikan rekomendasi dari layanan atau kualifikasi yang diberikan auditor terhadap tugas audit yang dijalankan)
080
Follow Up Activities
080.010
Follow Up (auditor SI harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu periode waktu) 

4.      Analisis Resiko
Merupakan suatu usaha untuk memahami faktor penilaian, karakterisasi, komunikasi, manajemen dan kebijakan yang berkaitan dengan resiko. Hasil analisis resiko akan menjadi masukan untuk evaluasi resiko dan proses pengambilan keputusan mengenai tindakan yang tepat untuk menyelesaikan resiko tersebut. Selain itu, analisis resiko merupakan sebuah tindakan untuk mengenali suatu ancaman kemudian menganalisanya untuk memastikan tindakan penyelesaiannya.

5.      Melakukan Analisis Resiko
Menurut J. W. Meritt, terdapat beberapa hal atau langkah yang perlu diperhatikan dalam menerapkan metode analisis resiko secara umum, yaitu sebagai berikut:
1.      Pertama, menentukan ruang lingkup (scope statement). Hal ini harus dipercayai oleh semua kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan secara tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko yang akan digunakan, dan mengajukan hasil yang diharapkan.
2.      Menetapkan aset (asset pricing). Pada langkah kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam ruang lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.
3.      Risks and Threats.  Resiko (risk) adalah sesuatu yang dapat menyebabkan kerugian atau mengurangi nilai kegunaan operasional sistem. Sedangkan ancaman (threats) adalah segala sesuatu yang harus dipertimbangkan karena kemungkinannya yang dapat terjadi secara bebas di luar sistem sehingga memunculkan satu resiko.
4.      Menentukan koefisien dampak. Semua aset memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal sama sekali.
5.      Single loss expectancy atau ekspetasi kerugian tunggal. Pada poin ini, Meritt menjelaskan bahwa aset-aset yang berbeda akan menanggapi secara berbedap pula ancaman-ancaman yang diketahui.
6.      Group evaluation atau evaluasi kelompok, yaitu langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan ini harus terdiri dari individu yang memiliki pengetahuan tentang komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode hibrida dalam analisis resiko dilakukan.
7.      Melakukan kalkulasi (penghitungan) dan analisis. Terdapat dua macam analisis. Pertama, across asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset tertentu yang perlu mendapat perlindungan paling utama. Kedua, across risk, yaitu analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang paling harus dijaga.
8.      Controls atau pengendalian, yaitu segala hal yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan ancaman serta memperbaiki sistem.
9.      Melakukan analisis terhadai control atau pengendalian. Ada dua metode yang dapat dilakukan dalam menganalisis aksi kontrol ini, yaitu cost and benefit ratio dan risk or control.
6.      Pengendalian Internal
-          suatu proses, yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi, yang dirancang untuk membantu organisasi mencapai suatu tujuan tertentu.
-          suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi. Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud) dan melindungi sumber daya organisasi baik yang berwujud (seperti mesin dan lahan) maupun tidak (seperti reputasi atau hak kekayaan intelektual seperti merek dagang).

7.      Perlunya Pengendalian Internal
-          Untuk memastikan bahwa risiko yang relevan teridentifikasi, proses identifikasi risiko harus dilakukan secara sistematis dan didokumentasikan dengan jelas. Dokumentasi dapat bervariasi, dari cukup dilakukan dengan spreadsheet untuk organisasi yang kecil hingga penggunaan perangkat lunak yang canggih untuk organisasi yang kompleks. Prinsipnya adalah bahwa kerangka kerja manajemen risiko didokumentasikan secara keseluruhannya.
-          Sebagai umpan balik yang tepat waktu terhadap pencapaian tujuan-tujuan operasional dan strategis, serta kepatuhan pada hukum dan regulasi.

8.      Kegiatan Audit
·         Merencanakan audit
·         Mengidentifikasi resiko dan kendali
·         Mengevaluasi kendali dan mengumpulkan bukti
·         Mendokumentasikan temuan-temuan dan mendiskusikan dengan auditor
·         Laporan akhir dan mempresentasikan hasil-hasil yang diperoleh

 -------------------------------------------------------------------------------------------------------

 Paper Audit dan Analisis Sistem Informasi Akuntansi
“Information Systems Security Policies, Standars, Procedures, and/or Guidelines
& Audit Based on Risk Analysis“





  
Disusun oleh :

682010023 - Stella Lie
682010010 - Adriana Wenno
682010031 - Kevin Noya
682010053 – Feby Djoko
682007005 – Radithya Pattipeilohy



Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana

Salatiga, 2013


I.                   PENDAHULUAN
Informasi merupakan salah satu sumber daya strategis suatu organisasi, oleh karena itu, untuk mendukung tercapainya visi dan misi suatu organisasi, pengelolaan informasi menjadi salah satu kunci sukses. Sistem informasi merupakan salah satu sub sistem organisasi untuk mengelola informasi. Saat ini sistem informasi dioperasikan oleh hampir seluruh sumber daya manusia suatu organisasi sehingga tidak dapat dipisahkan dengan operasi dan kehidupan organisasi. Teknologi informasi merupakan komponen penting dari sistem informasi, selain data/informasi, sumber daya manusia dan organisasi. Teknologi informasi yang dimaksud adalah teknologi telematika, telekomunikasi dan informatika, yang mencakup teknologi komputer (perangkat keras, perangkat lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi data digital sebagai infrastruktur dari jaringan komputer. Perlu teknik untuk mengendalikan dan memastikan bahwa sistem informasi sudah sesuai dengan tujuan organisasi. Audit sitem informasi merupakan suatu cara untuk menilai sejauh mana suatu sistem informasi telah mencapai tujuan organisasi.
II.                PEMBAHASAN
1.      Apa yang dimaksud dengan  manajemen audit?

Manajemen audit adalah pengevaluasian terhadap efisiensi dan efektifitas perusahaan.

2.      Mengapa audit harus dikelola?
a.       Untuk  Memberi informasi operasi yang relevan dan tepat waktu untuk pengambilan keputusan.
b.      Untuk membantu manajemen dalam mengevaluasi catatan laporan-laporan dan pengendalian.
c.       Memastikan ketaatan terhadap kebijakan manajerial yang ditetapkan rencana-rencana prosedur serta persyaratan peraturan pemerintah.

3.      Sebutkan dan jelaskan kebijakan, standar, prosedur, dan pedoman audit menurut ISACA!

Information Systems Audit and Control Association (ISACA), didirikan tahun 1969, merupakan organisasi profesional auditor TI terbesar yang memiliki lebih dari dua puluh lima ribu anggota di lebih dari seratus negara dan memiliki sertifikasi lebih dari 29.000 IT auditor. ISACA memiliki bagian penelitian, Sistem Informasi Audit dan Control Foundation, yang melakukan penelitian dan publikasi isu-isu yang membimbing IT audit profesional.
ISACA mulai menawarkan sertifikasi CISA tahun 1978. Sebuah CISA harus berhasil menyelesaikan ujian yang diselenggarakan setiap tahun, memenuhi persyaratan pengalaman profesional, mematuhi kelompok Profesional Kode Etik, dan memenuhi persyaratan pendidikan berkelanjutan.
Sertifikasi secara umum membutuhkan pengalaman minimal lima tahun dalam IT audit, kontrol, atau keamanan, meskipun ada beberapa pilihan tersedia yang akan mengesampingkan bagian dari persyaratan ini. Sebagai contoh, profesional dapat mengganti satu tahun pengalaman audit keuangan untuk satu tahun praktik audit TI. Pengalaman ini harus berada dalam sepuluh tahun sebelum tanggal permohonan sertifikasi atau dalam lima tahun kelulusan.
CISA professional juga harus setuju dengan kode etik profesional yang dirancang untuk membimbing mereka dalam perilaku mereka dan untuk menaati Sistem Informasi Standar ISACA. Karena karir IT audit membutuhkan pembelajaran lebih lanjut, sebuah CISA harus menyelesaikan dua puluh jam kontak melanjutkan pendidikan setiap tahun dan 120 jam kontak dalam jangka waktu tiga tahun untuk mempertahankan sertifikasi.
Menyadari kompleksitas audit TI, Dewan Standar ISACA menerbitkan standar, pedoman, dan prosedurAudit TI. Standar ini menetapkan tingkat kinerja minimum yang diperlukan untuk mematuhi Kode Etik Profesional ISACA, dan mereka juga memberitahukan kepada manajemen dan yang lainnya mengenai jenis pekerjaan yang harus dicakup oleh audit TI. Sebuah CISA yang berlisensi harus memenuhi standar ISACA atau penyelidikan reputasi dan tindak kedisiplinan. Pedoman ini memberikan bantuan dalam menerapkan standar, dan prosedur langkah-langkah auditor IT dalam mengambil kebijakan sepanjang perjanjian audit.
Sifat khusus dari sistem informasi (IS) audit dan keterampilan yang diperlukan untuk melaksanakan audit tersebut memerlukan standar yang berlaku khusus untuk IS audit. Salah satu tujuan dari ISACA ® adalah untuk memajukan standar global yang berlaku untuk memenuhi visinya. Pengembangan dan penyebaran Standar Audit IS adalah batu penjuru dari kontribusi ISACA profesional untuk komunitas audit. Itu kerangka untuk Standar Audit IS menyediakan berbagai tingkat bimbingan:
Standar menetapkan persyaratan wajib untuk IS audit dan pelaporan. Mereka menginformasikan:
·         IS auditor dari tingkat minimum kinerja yang dapat diterima yang diperlukan untuk memenuhi tanggung jawab profesional yang ditetapkan dalam ISACA Kode Etik Profesional
·         Manajemen dan pihak berkepentingan lainnya dari harapan profesi tentang pekerjaan praktisi
·         Pemegang Auditor Sistem Informasi Certified ™ (CISA ®) penetapan persyaratan. Kegagalan untuk mematuhi standar dapat mengakibatkan investigasi perilaku pemegang CISA oleh Dewan Direksi atau ISACA, sesuai komite dan, akhirnya, tindakan disipliner.

Pedoman memberikan panduan dalam menerapkan IS Standar Audit. Auditor IS harus mempertimbangkan mereka dalam menentukan bagaimana mencapai pelaksanaan standar, menggunakan penilaian profesional dalam aplikasi mereka dan bersiaplah untuk membenarkan keberangkatan apapun. Tujuan dari Pedoman Audit IS adalah untuk memberikan informasi lebih lanjut tentang cara untuk mematuhi Standar Audit IS.
Prosedur memberikan contoh-contoh prosedur IS auditor mungkin mengikuti dalam pengauditan. Dokumen prosedur memberikan informasi tentang bagaimana untuk memenuhi standar saat melakukan pekerjaan IS audit, tetapi tidak menetapkan persyaratan. Tujuan dari IS Prosedur audit adalah untuk memberikan informasi lebih lanjut tentang cara untuk mematuhi Standar Audit IS.
Control Tujuan informasi dan teknologi terkait (COBIT ®) adalah teknologi informasi (TI) kerangka tata kelola dan mendukung seperangkat alat yang memungkinkan manajer untuk menjembatani kesenjangan antara persyaratan kontrol, masalah teknis dan risiko usaha. COBIT memungkinkan pengembangan kebijakan yang jelas dan praktik yang baik untuk IT mengontrol seluruh organisasi. Ini menekankan kepatuhan terhadap peraturan, membantu organisasi meningkatkan nilai diperoleh dari TI, memungkinkan keselarasan dan menyederhanakan pelaksanaan konsep kerangka COBIT itu. COBIT dimaksudkan untuk digunakan oleh bisnis dan manajemen TI serta IS auditor, sehingga penggunaannya memungkinkan pemahaman tujuan bisnis dan komunikasi praktek yang baik dan rekomendasi yang akan dibuat di sekitar umum dipahami dan kerangka wellrespected.

4.      Apa yang dimaksud dengan analisis resiko?

Secara sederhana, analisis resiko atau risk analysis dapat diartikan sebagai sebuah prosedur untuk mengenali satu ancaman dan kerentanan, kemudian menganalisanya untuk memastikan hasil pembongkaran, dan menyoroti bagaimana dampak-dampak yang ditimbulkan dapat dihilangkan atau dikurangi.
Analisis resiko juga dipahami sebagai sebuah proses untuk menentukan pengamanan macam apa yang cocok atau layak untuk sebuah sistem atau lingkungan. (ISO 1799, “An Introduction To Risk Analysis”, 2012).
Analisis resiko juga diartikan sebagai sebuah sistematika yang menggunakan informasi yang didapat untuk menentukan seberapa sering kejadian tertentu dapat terjadi dan besarnya konsekuensi tersebut

5.      Bagaimana melakukan analisis resiko?

Proses melakukan analisis risiko sangat mirip dengan mengidentifikasi tingkat risiko yang dapat diterima.Pada dasarnya, Anda melakukan analisis risiko pada organisasi secara keseluruhan untuk menentukan tingkat risiko yang dapat diterima. Hal ini kemudian dasar Anda untuk membandingkan semua risiko yang teridentifikasi lainnya untuk menentukan apakah risiko yang terlalu tinggi atau jika berada di bawah tingkat risiko mapan diterima.

Langkah pertama: Identifikasi aset dan nilai-nilai mereka
Analisis risiko memberikan perbandingan biaya / manfaat, yang membandingkan biaya tahunan pengamanan untuk melindungi terhadap ancaman dengan biaya potensi kerugian. Sebuah perlindungan, dalam banyak kasus, tidak harus dilaksanakan kecuali biaya tahunan kerugian melebihi biaya tahunan dari perlindungan itu sendiri. Ini berarti bahwa jika fasilitas bernilai $ 100.000, itu tidak masuk akal untuk menghabiskan $ 150.000 berusaha untuk melindunginya.
Nilai ditempatkan pada aset (termasuk informasi) relatif terhadap pihak yang terlibat, pekerjaan apa yang diperlukan untuk mengembangkan itu, berapa biaya untuk mempertahankan, apa kerusakan akan timbul jika hilang atau rusak, dan apa manfaat pihak lain akan mendapatkan jika hal itu untuk mendapatkannya.Jika perusahaan tidak tahu nilai dari informasi dan aset lain mereka berusaha melindungi, tidak tahu berapa banyak uang dan waktu harus keluarkan untuk melindungi mereka.
Nilai aset harus mencerminkan semua biaya yang dapat diidentifikasi yang akan timbul jika ada penurunan nilai sebenarnya dari aset. Jika server biaya $ 4.000 untuk pembelian, nilai ini tidak boleh masukan sebagai nilai dari aset tersebut ke dalam penilaian risiko bisnis . Sebaliknya, biaya penggantian atau perbaikan itu, hilangnya produktivitas dan nilai data yang mungkin rusak atau hilang, perlu diperhitungkan untuk benar menangkap jumlah perusahaan akan kehilangan jika server yang gagal untuk satu alasan atau yang lain.
Isu-isu berikut harus dipertimbangkan ketika menetapkan nilai aset:
·         Biaya untuk memperoleh atau mengembangkan aset
·         Biaya untuk menjaga dan melindungi aset
·         Nilai aset bagi pemilik dan pengguna
·         Nilai aset kepada musuh
·         Nilai kekayaan intelektual yang masuk ke pengembangan informasi
·         Harga lain bersedia membayar untuk aset
·         Biaya untuk mengganti aset jika hilang
·         Operasional dan produksi kegiatan yang terpengaruh jika aset tersebut tidak tersedia
·         Kewajiban masalah jika aset tersebut dikompromikan
·         Kegunaan dan peran aset dalam organisasi

Memahami nilai aset adalah langkah pertama untuk memahami apa mekanisme keamanan harus diletakkan pada tempatnya dan apa dana harus pergi ke arah melindunginya. Sebuah pertanyaan yang sangat penting adalah berapa banyak bisa biaya perusahaan untuk tidak melindungi aset.
Langkah kedua: Identifikasi kerentanan dan ancaman
Setelah aset telah diidentifikasi dan ditugaskan nilai, semua kerentanan dan ancaman yang terkait perlu diidentifikasi untuk masing-masing aset atau kelompok aset. Tim IRM perlu mengidentifikasi kerentanan yang dapat mempengaruhi integritas, ketersediaan atau kerahasiaan masing-masing aset persyaratan.Semua kerentanan yang relevan perlu diidentifikasi dan didokumentasikan sehingga diperlukan penanggulangan dapat diimplementasikan.
Karena ada sejumlah besar kerentanan dan ancaman yang dapat mempengaruhi aset yang berbeda, penting untuk dapat benar mengkategorikan mereka. Tujuannya adalah untuk menentukan ancaman dan kerentanan dapat menyebabkan kerusakan yang paling sehingga item yang paling penting dapat diurus pertama.
Langkah tiga: Menghitung dampak probabilitas dan bisnis dari potensi ancaman tersebut
Tim melaksanakan penilaian risiko perlu mengetahui dampak bisnis untuk ancaman diidentifikasi.
Untuk memperkirakan potensi kerugian yang ditimbulkan oleh ancaman, menjawab pertanyaan-pertanyaan berikut:
·         Apa kerusakan fisik yang bisa menyebabkan ancaman, dan berapa biayanya?
·         Berapa banyak kehilangan produktivitas bisa penyebab ancaman, dan berapa banyak yang akan bahwa biaya?
·         Apa nilai yang hilang jika informasi rahasia diungkapkan?
·         Apa biaya pulih dari serangan virus?
·         Apa biaya pulih dari serangan hacker?
·         Apa nilai hilang jika perangkat penting adalah untuk gagal?
·         Apa harapan hilangnya tunggal (SLE) untuk setiap aset dan ancaman masing-masing?

Ini hanyalah sebuah daftar kecil pertanyaan yang harus dijawab. Pertanyaan-pertanyaan spesifik akan tergantung pada jenis ancaman tim mengungkapkan.
Tim kemudian perlu untuk menghitung probabilitas dan frekuensi kerentanan diidentifikasi dieksploitasi.Tim akan perlu untuk mengumpulkan informasi tentang kemungkinan setiap ancaman yang terjadi dari orang-orang di setiap departemen, catatan masa lalu dan sumber daya keamanan resmi. Jika tim ini menggunakan pendekatan kuantitatif, maka mereka akan menghitung tingkat tahunan kejadian (ARO), yaitu berapa kali ancaman dapat berlangsung dalam jangka waktu 12 bulan.
Langkah empat: Identifikasi penanggulangan dan menentukan biaya / manfaat
Tim kemudian harus mengidentifikasi penanggulangan dan solusi untuk mengurangi kerusakan potensial dari ancaman diidentifikasi.
6.      Apa yang dimaksud dengan pengendalian internal?

Pengendalian internal merupakan bagian integral dari sistem informasi akuntansi. Pengendalian internal itu sendiri adalah suatu proses yang dijalankan untuk dewan komisaris, manajemen, dan personil lain dalam perusahaan. Adapun kriteria dari pengendalian internal yaitu :
a. Keandalan pelaporan keuangan
b. Efektivitas dan efisiensi operasi
c. Keputusan terhadap hukum dan peraturan yang berlaku

Dengan menetapkan serta menerapkan pengendalian internal maka perusahaan mampu mencapai tujuan dan meminimalkan resiko. Sebagai hasil dari ditetapkannnya pengendalaian internal dalam sisten informasi akuntansi adalah dihasilkannya informasi akuntansi yang berkualitas dan dapat di audit.
Sistem Pengendalian Internal adalah Suatu perencanaan yang meliputi struktur organisasi dan semua metode dan alat-alat yang dikoordinasikan yang digunakan di dalam perusahaan dengan tujuan untuk menjaga keamanan harta milik perusahaan, memeriksa ketelitian dan kebenaran data akuntansi, mendorong efisiensi, dan membantu mendorong dipatuhinya kebijakan manajemen yang telah ditetapkan.
7.       Mengapa perlu adanya pengendalian internal?
Tujuan adanya pengendalian internal :
1. Menjaga kekayaan organisasi.
2. Memeriksa ketelitian dan kebenaran data akuntansi.
3. Mendorong efisiensi.
4. Mendorong dipatuhinya kebijakan manajemen.

8.       Bagaimana memulai kegiatan audit?

Dalam melaksanakan audit faktor-faktor berikut harus diperhatikan:
  1.  Dibutuhkan informasi yang dapat diukur dan sejumlah kriteria (standar) yang dapat digunakan sebagai panduan untuk mengevaluasi informasi tersebut,
  2. Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas untuk menentukan lingkup tanggungjawab auditor,
  3. Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup untuk memenuhi tujuan audit,
  4. Kemampuan auditor memahami kriteria yang digunakan serta sikap independen dalam mengumpulkan bahan bukti yang diperlukan untuk mendukung kesimpulan yang akan diambilnya.
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi  penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
  1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
  2. Tetapkan langkah-langkah audit yang rinci.
  3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
  4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
  5. Telaah apakah tujuan audit tercapai.
  6. Sampaikan laporan kepada pihak yang berkepentingan.
  7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.
 Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:
1.            Audit subject. Menentukan apa yang akan diaudit.
2.            Audit objective. Menentukan tujuan dari audit.
3.            Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.
4.            Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5.            Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
6.            Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7.            Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
8.            Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
o   Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
o   Kesimpulan umum dari auditor.
o   Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak
o   Rekomendasi. Tanggapan dari manajemen (bila perlu).
o   Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih


III.             PENUTUP
Kesimpulan
Melakukan kegiatan pengauditan merupakan hal yang memerlukan persiapan yang matang. Oleh karena itu memanage segala sesuatu yang dilakukan terlebih dahulu sangatlah penting. Management audit dilakukan oleh auditor dengan partisipasi perusahaan atau clientnya. Kegiatan ini bertujuan memudahkan auditor agar kedepannya lebih mudah menjalankan proses pegauditan. Semakin baik management audit yang dilakukan, semakin baik pula proses audit dijalankan.

 ----------------------------------------------------------------------------------------------------------
TUGAS REVIEW
AUDIT & ANALISIS SIA




OLEH :
Rimang Aldino Sandy                                                  (682010003)
Jerry Wicaksono                                                           (682010004)
Immanuel Bagus Prasetya                                        (682010017)
Robert Budiman                                                           (682010048)
Heru Setiawan                                                              (682010088)


FAKULTAS TEKNOLOGI INFORMASI
UNIVERSITAS KRISTEN SATYA WACANA
FEBRUARI 2010
I.          PENDAHULUAN
·      Latar Belakang
Dalam sebuah organisasi maupun perusahaan yang scope-nya lebih luas, terdapat berbagai macam aktivitas – aktivitas yang terjadi di dalamnya. Aktivitas – aktivitas tersebut terjadi berdasarkan proses bisnis yang sebelumnya sudah ditentukan oleh perusahaan. Setiap aktivitas yang dilakukan oleh perusahaan tidak selalu berjalan sesuai rencana, dan tidak selalu nampak maupun terdeteksi oleh perusahaan. Oleh sebab itu, diperlukan sebuah audit untuk mengevaluasi kinerja perusahaan apakah sesuai dengan tujuan perusahaan atau belum. Selain itu, audit perlu dikelola untuk membantu manajemen perusahaan  mengidentifikasikan kegiatan operasional dalam perusahaan yang tidak memberikan kontribusi dalam perolehan keuntungan. Dari hasil audit tersebut akan ditemukan resiko – resiko yang mungkin muncul dalam kegiatan perusahaan, yang harus diatasi agar tidak merugikan perusahaan.
·      Tujuan
Manajemen Audit dilakukan untuk membantu manajemen perusahaan  mengidentifikasikan kegiatan operasional dalam perusahaan yang tidak memberikan kontribusi dalam perolehan keuntungan. Membantu manajemen dalam peningkatan produktifitas kerja dari berbagai komponen organisasi. Memungkinkan manajemen mengidentifikasi hambatan dan kendala yang dihadapi dalam mengkoordinasikan berbagai kegiatan dan mengambil langkah strategis untuk mengatasi dan menghilangkannya.
Analisis resiko perlu dilakukan oleh auditor, agar auditor bisa mengetahui hal – hal apa saja, termasuk resiko yang bisa terjadi dalam perusahaan dan seberapa besar pengaruh resiko itu bisa terjadi serta cara penanganannya. Selain itu, analisis resiko juga dilakukan untuk menentukan jenis pengendalian apa yang harus dilakukan terhadap resiko tersebut.
·      Manfaat
-     Membantu manajemen dalam peningkatan produktifitas kerja dari berbagai komponen organisasi.
-     Memungkinkan manajemen mengidentifikasi hambatan dan kendala yang dihadapi dalam mengkoordinasikan berbagai kegiatan dan mengambil langkah strategis untuk mengatasi dan menghilangkannya.

II.              Tinjauan Pustaka
Manajemen audit merupakan sebuah proses penilaian efektivitas, efisiensi dan ekonomisasi dari operasi organisasi perusahaan, departemen, atau setiap entitas dan sub-entitas yang dapat diaudit.
Analisis risiko adalah proses mengidentifikasi aset dan ancaman, memprioritaskan ancaman kerentanan dan identifikasi tindakan yang tepat untuk dilakukan. Selain itu analisis risiko juga dapat diartikan sebagai tindakan untuk menganalisis proyek berdasarkan hasil dari penilaian risiko dan menyediakan dasar untuk membuat keputusan dan mengembangkan rencana untuk mengurangi dampak risiko.

III.              Pembahasan
·      Manajemen Audit
Manajemen audit merupakan sebuah proses penilaian efektivitas, efisiensi dan ekonomisasi dari operasi organisasi perusahaan, departemen, atau setiap entitas dan sub-entitas yang dapat diaudit. Management audit berkaitan dengan audit efisiensi dimana tujuan utama dari audit efisiensi ini adalah untuk memastikan bahwa tiap unit mata uang diinvestasikan dalam modal atau tempat lain yg memberikan pengembalian yg optimum dan bahwa perencanaan investasi antara berbagai fungsi dan aspek yg berbeda dirancang utk memberikan hasil yg optimum.
Selain itu, audit perlu dikelola karena :
-     Untuk mengetahui apakah kegiatan yang dilakukan di dalam sebuah perusahaan berjalan secara efektif, efisien dan berada pada jalur yang sesuai dengan tujuan perusahaan.
-     Untuk memberikan informasi kepada manajemen mengenai efektifitas suatu unit atau fungsi.
-     Untuk mengetahui tindakan yang bersifat preventif, artinya untuk menilai apakah ada situasi dalam perusahaan yang potensial dapat menjadi masalah di masa depan meskipun pengamatan sepintas mungkin menunjukkan bahwa situasi demikian tidak dihadapi perusahaan.
-     Untuk membandingkan hasil kerja perusahaan secara keseluruhan atau berbagai komponen di dalamnya dengan standar yang mencakup berbagi bidang kegiatan dan berbagai sasaran perusahaan yang ditetapkan sebelumnya.
-     Untuk dijadikan sebagai upaya investigasi. Bagi manajemen untuk memutuskan melaksanakan audit manajemen ialah karena ada sinyal elemen bahwa dalam perusahaan terdapat masalah tertentu yang harus segera diketahui penyebabnya dan dengan demikian dapat diambil langkah-langkah untuk mengatasinya.
-     Memungkinkan manajemen mengidentifikasikan kegiatan operasional dalam perusahaan yang tidak memberikan kontribusi dalam perolehan keuntungan.
-     Membantu manajemen dalam peningkatan produktifitas kerja dari berbagai komponen organisasi.
-     Memungkinkan manajemen mengidentifikasi hambatan dan kendala yang dihadapi dalam mengkoordinasikan berbagai kegiatan dan mengambil langkah strategis untuk mengatasi dan menghilangkannya.
-     Memantapkan penerapan pendekatan kesisteman dalam menjalankan roda organisasi.
-     Memungkinkan manajemen pada berbagai tingkat menentukan strategi yang tepat.
-     Membantu manajemen merumuskan pedoman teknis operasional bagi para pelaksana berbagai kegiatan dalam perusahaan yang akan membantu para tenaga kerja operasional melakukan kegiatan masing-masing dengan tingkat efisiensi dan efektifitas yang lebih tinggi.
-     Mengidentifikasikan dengan tepat berbagai masalah dan tantangan yang dihadapi dalam manajemen sumber daya manusia.
-     Membantu manajemen menilai perilaku bawahan dalam menyediakan informasi bagi pimpinan sesuai dengan kebutuhan pimpinan pada berbagai hierarki perusahaan.
-     Untuk dapat memberikan rekomendasi kepada top management dalam memperbaiki kelemahan-kelemahan yg terdapat dalam penerapan struktur pengendalian intern sistem pengendalian manajemen dan prosedur operasional perusahaan dalam rangka meningkatkan efisiensi keekonomisan dan efektifitas dari kegiatan operasi perusahaan.
-     Memungkinkan manajemen mengidentifikasikan hambatan dan kendala yg dihadapi dalam mengkoordinasikan berbagai kegiatan dan mengambil langkah strategik untuk mengatasi dan menghilangkannya.
-     Membantu manajemen merumuskan pedoman teknis operasional bagi para pelaksana berbagai kegiatan dalam perusahaan yg akan membantu para tenaga kerja operasional melakukan kegiatan masing-masing dgn tingkat efisiensi dan efektifitas yang lebih tinggi.

Dalam melakukan audit, terdapat kebijakan, standar, prosedur, dan pedoman audit yang ditetapkan oleh ISACA, yaitu :
-     Audit Chapter
o  Responsibility, Authority and Accountability
Definisi dari tanggung jawab, otoritas dan accountability dari fungsi audit SI lebih tepat bila didokumentasikan dalam suatu surat perjanjian.
-     Independence
o  Professional Independence
Auditor harus bersikap independen dalam tingkah laku dan tindakannya.
o  Organizational Relationship
Fungsi audit SI harus berada independen dari area yang diaudit untuk mencapai tujuan objektivitas dari suatu proses audit.
-     Professional Ethics and Standard
o  Code of Professional Ethics
Auditor SI harus menghormati dan menaati etika profesional dari ISACA.
o  Due Professional Care
Standar auditing profesional harus diterapkan dalam segala aspek pekerjaan yang dilakukan oleh auditor SI.
-     Competence
o  Continuing professional education
Auditor SI haris memantain kompetensi teknilkal melalui pendidikan lanjut profesional
-     Planning
o  Audit planning
Auditor SI harus merencanakan perencanaan audit sistem untuk menempatkan tujuan audit dan untuk melengkapi standar profesional audit
-     Performance of Audit Work
o  Supervision
Staf dari audit SI harus tepat untuk dapat menjamin tujuan dari audit dijalankan dan standar profesional auditing dapat terpenuhi
o  Evidence
Selama masa pekerjaan audit auditor SI harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan objektif dari suatu audit
-     Reporting
o  Report Content and Form
Auditor SI harus menyediakan report dalam bentuk yang tepat pada saat penyelesaian tugas audit. Laporan audit berupa lingkup, tujuan, periode audit, dan lingkungan dimana audit dijalankan. Laporan audit harus mengidentifikasikan permasalahan yang terjadi dalam jangka waktu audit. Laporan audit juga untuk memberikan rekomendasi dari layanan atau kualifikasi yang diberikan auditor terhadap tugas audit yang dijalankan.
-     Follows Up Activities
o  Follow Up
Auditor SI harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu periode waktu.

·      Analisis Resiko
Analisis risiko adalah proses mengidentifikasi aset dan ancaman, memprioritaskan ancaman kerentanan dan identifikasi tindakan yang tepat untuk dilakukan. Selain itu analisis risiko juga dapat diartikan sebagai tindakan untuk menganalisis proyek berdasarkan hasil dari penilaian risiko dan menyediakan dasar untuk membuat keputusan dan mengembangkan rencana untuk mengurangi dampak risiko. Analisis risiko juga dapat diartikan proses mengkaji setiap persoalan risiko yang teridentifikasi atau proses menguraikan deskripsi dari risiko, mengisolasi sumbernya dan meramalkan efeknya.
Sebelum melakukan analisis resiko, perlu dilakukan 2 tahapan, yaitu :
-     Evaluasi Proses Bisinis
Evaluasi proses bisnis bertujuan untuk menentukan tujuan dan pentingnya kegiatan bisnis yang berjalan dalam perusahaan. Auditor dapat melakukan evaluasi proses bisnis dengan cara melihat dokumen pernyataan visi dan misi organisasi, arsitektur dan prosedur proses bisnis, arsip dokumen perusahaan, skema jaringan sistem yang dibangun dalam perusahaan serta sistem dan dokumen pendukung lainnya. Dengan melakukan evaluasi proses bisnis, auditor dapat mengetahui pencapaian kinerja perusahaan.
-     Identifikasi Resiko Bisnis
Saat melakukan evaluasi proses bisnis, auditor juga melakukan identifikasi terhadap ancaman maupun resiko – resiko bisnis yang ada di dalam perusahaan.

Setelah melakukan kegiatan di atas, maka tahap analisis resiko bisa dilakukan. Tahapan – tahapan analisis resiko, yaitu :
-     Tahap identifikasi risiko
Menentukan dimensi-dimensi proyek yang berpengaruh pada risiko.
-     Tahap penilaian risiko
Melakukan penilaian pada risiko, apakah resiko tersebut bisa terjadi dalam perusahaan atau tidak.
-     Tahap analisis risiko.
Menganalisis risiko untuk mengetahui tingkat risiko.
-     Tahap melakukan tindakan terhadap hasil analisis risiko
Menetapkan tindakan-tindakan yang perlu dilakukan untuk meminimalisir risiko dan menjamin suksesnya implementasi.

Selain itu, analisis resiko juga dilakukan untuk menentukan jenis pengendalian apa yang harus dilakukan terhadap resiko tersebut. Beberapa jenis pengendalian yang biasa dilakukan dalam analisis resiko :
-     Preventive Control
Preventive Control dilakukan untuk mencegah masalah maupun resiko yang terjadi di dalam sebuah perusahaan atau organisasi agar tidak semakin berkembang dan membahayakan. Contoh pengendalian preventive: merekrut staff pegawai bagian akuntansi yang memenuhi kualifikasi perusahaan, agar pencatatan data transaksi tidak terjadi kesalahan. Selain itu, masing – masing departemen dalam perusahaan harus ada pemisahan tugas yang jelas, agar tidak terjadi penyalahgunaan wewenang. Misalnya dalam sistem komputer perusahaan, hanya orang – orang akuntansi saja yang bisa mengubah data akuntansi. Tidak semua masalah dapat di kendalikan dengan pengendalian preventive, oleh karena itu perlu dilengkapi dengan detective control
-     Detective Control
Detective Control dilakukan untuk mencari dan menemukan masalah yang sudah terjadi dalam perusahaan. Contoh pengendalian detective : berulang kali memeriksa perhitungan dan pencatatan data transaksi perusahaan untuk menemukan apakah terjadi kesalahan atau tidak.
-     Corrective Control
Corrective Control dilakukan untuk memperbaiki kesalahan yang ditemukan saat melakukan detective control.
Pengendalian – pengendalian di atas merupakan pengendalian internal yang dapat dilakukan oleh perusahaan. Pengendalian internal merupakan bagian dari masing-masing sistem yang dipergunakan sebagai prosedur dan pedoman operasional perusahaan atau organisasi tertentu. Pengendalian Internal digunakan untuk mengarahkan operasi perusahaan dan mencegah terjadinya penyalahgunaan sistem.
Tujuan dari pengendalian internal yaitu:
1.    Menjaga kekayaan perusahaan
a.    Penggunaan kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan,
b.    Pertanggungjawaban kekayaan perusahaan  yang dicatat dibandingkan dengan kekayaan yang sesungguhnya.
2.    Mengecek ketelitian dan keandalan data akuntansi
a. Pelaksanaan transaksi melalui sistem otorisasi yang telah ditetapkan,
b. Pencatatan transaksi yang terjadi tercatat dengan benar di dalam catatan akuntansi perusahaan.

·      Bagaimana melakukan audit?
-     Audit Pendahuluan
Mencari latar belakang objek audit (auditee), menelaah peraturan dan kebijakan yang berlaku dalam perusahaan / organisasi yang diaudit, menemukan objek yang memiliki kelemahan yang cukup potensial, kemudian menentukan audit sementara (semacam hipotesis).
-     Review dan pengujian pengendalian manajemen
Menilai efektivitas pengendalian manajemen, apakah sesuai dengan tujuan atau tidak, memahami pengendalian yang berlaku, mencari potensi kelemahan aktivitas yang terjadi dalam perusahaan, apabila hasil review ini sesuai dengan audit sementara, maka audit sementara tersebut bisa menjadi audit yang sebenarnya.
-     Audit terinci
Setelah melakukan reveiew dan pengendalian terhadap manajemen, auditor melakukan pengumpulan bukti yang cukup, relevan dan dapat dipercaya. Kemudian auditoe mengembangkan temuan tersebut hingga menjadi kertas kerja audit yang dapat mendukung pengambilan keputusan manajemen.
-     Pelaporan
Setelah melakukan audit terperinci, auditor perlu mengkomunikasikan hasil audit termasuk rekomendasi kepada pihak yang berkepentingan (auditee) yang berupa laporan komprehensif. Laporan ini berisi kesimpulan dari hasil audit yang telah dilakukan beserta rekomendasinya.
-     Tindak lanjut
Mendorong pihak yang berwenang untuk melaksanakan tindak lanjut sesuai dengan rekomendasi yang diberikan.

IV.              Pustaka
-     kk.mercubuana.ac.id/.../32030-2-920656256239....
-     xa.yimg.com/kq/groups/.../audit_manajemen.ppt
-     www.mdp.ac.id/...1/.../AK406-112199-886-1.pptx
-     staf.cs.ui.ac.id/.../Transparan%20Digisec-10%20A...
-     http://www.isaca.org/Journal/Past-Issues/2008/Volume-4/Pages/Automating-Security-Policy-and-Procedures-With-Workflow-How-to-Improve-the-Effectiveness-of-Risk-Man1.aspx
-     http://www.isaca.org/Knowledge-Center/Standards/Pages/Standard-for-IS-Auditing-S1-Audit-Charter.aspx

 ---------------------------------------------------------------------------------------------------------

 LAPORAN
Manajemen Audit

AUDIT DAN ANALISIS SIA - SK 353
Diajukan Sebagai Syarat untuk Menyelesaikan Tugas Matakuliah
Audit dan Analisis SIA di Fakultas Teknologi Informasi



Oleh:
MARIA DAISIHARA                                  682010005
FARISA OETARI                                        682010006
VIRGIANO NUGRANTA PUTRA            682010042
NENCY NERISA                                         682010065

  
FAKULTAS TEKNOLOGI INFORMASI
UNIVERSITAS KRISTEN SATYA WACANA
JANUARI 2013


PENDAHULUAN
A.    LATAR BELAKANG
Suatu organisasi atau perusahaan memiliki sebuah sistem informasi yang menggambarkan proses bisnis yang terjadi dalam perusaahn tersebut. Kinerja suatu perusahaan perlu dievaluasi agar didalam pelaksanaannya dapat berjalan dengan baik, sehingga audit diperlukan dalam organisasi atau perusahaan.
Dalam melakukan audit di suatu perusahaan, auditor membutuhkan manajemen audit. Manajemen audit sangat membantu kinerja audior dalam menentukan langkah-langkah yang harus dilakukan oleh auditor. Dengan menggunakan manajemen audit, auditor dapat menganalisis resiko-resiko yang ada dalam perusahaan yang akan diaudit. Dimana pengendalian internal perusahaan sangat berguna untuk kinerja perusahaan.
B.     TUJUAN
Management audit berkaitan dengan audit efisiensi dimana tujuan utama dari audit efisiensi ini adalah untuk memastikan bahwa tiap unit mata uang diinvestasikan dalam modal atau tempat lain yang memberikan pengembalian yang optimum dan bahwa perencanaan investasi antara berbagai fungsi dan aspek yang berbeda dirancang untuk memberikan hasil yang optimum.
C.    MANFAAT
1.      Untuk menilai kinerja (performance) dari manajemen dan berbagai fungsi dalam perusahaan.
2.      Untuk menilai apakah berbagai sumber daya (manusia, mesin, dana, harta lainnya) yang dimiliki perusaan telah digunakan secara efisien dan ekonomis.
3.      Untuk menilai efektifitas perusahaan dalam mencapai tujuan (objective) yang telah ditetapkan oleh top management.
4.      Analisis resiko berguna untuk auditor didalam melakukan pengendalian internal terhadap objective nya sehingga dapat melakukan tiga pengendalian (preventive, detective, corrective)
D.    TINJAUAN PUSTAKA
Menurut Sukrisno Agoes (1996)
Manajemen audit adalah suatu pemeriksaan terhadap kegiatan operasi suatu perusahaan, termasuk kebijakan akuntansi dan kebijakan operasional yang telah ditentukan manajemen, untuk mengetahui apakah kegiatan operasi tersebut sudah dilakukan secara efektif, efisien dan ekonomis.
Management Audit adalah pemeriksaan terhadap efektivitas dan efisiensi pelaksanaan kegiatan manajemen, yang meliputi semua aspek manajemen mulai dari perencanaan, kegiatan operasional, pengawasan dan pelaporan.
Menurut Pelter analisis risiko adalah proses mengidentifikasi aset dan ancaman, memprioritaskan ancaman kerentanan dan mengidentifikasi tindakan yang tepat untuk dilakukan. Menurut knutson analisis risiko adalah tindakan untuk menganalisis proyek berdasarkan hasil dari penilaian risiko dan menyediakan dasar untuk membuat keputusan dan mengembangkan rencana untuk mengurangi dampak dari risiko.
pengendalian internal diartikan sebagai bagian dari masing-masing sistem yang dipergunakan sebagai prosedur dan pedoman operasional perusahaan atau organisasi tertentu. Perusahaan pada umumnya menggunakan Sistem Pengendalian Internal untuk mengarahkan operasi perusahaan dan mencegah terjadinya penyalahgunaan system sehingga tercipta kefisiensi dan efektifitas kinerja perusahaan
  
   A.    Pengertian Manajemen Audit
1.      Menurut Holmes dan Overmyer (1975), definisi manajemen audit adalah
“The management audit means the examination and evaluation of all information gathering function and all phases of management functions and activities, in order to ascertain if operating re conducted in a effective and efficient manner.”
Definisi diatas jika diterjemahkan, manajemen audit mencakup penelitian dan evaluasi atas semua fungsi dari Manajemen, untuk memastikan bahwa pelaksanaan operasi perusahaan telah dijalankan dengan cara yang efektif dan efisien.
2.      Pengertian lain ditulis oleh American Institute of Certified Public Accountant (AICPA), yaitu
“Management audit is a systematic review on a organization’s activities or of a stipulated segmen of them, in relation to specified objectives for the purposes of assessing performance, identifying oppurtinities for improvement, and developing recommendations for improvement or further actions”
Definisi diatas menjelaskan bahwa manajemen audit suatu penelaahan yang sistematis terhadap aktivitas suatu organisasi, atau suatu segmen tertentu daripadanya, dalam hubungannya dengan tujuan tertentu, seperti menilai kegiatan, mengindentifikasi berbagai kesempatan untuk perbaikan, dan mengembangkan rekomendasi bagi perbaikan atau tindakan lebih lanjut.
3.      Menurut Sukrisno Agoes (1996)
Manajemen audit adalah suatu pemeriksaan terhadap kegiatan operasi suatu perusahaan, termasuk kebijakan akuntansi dan kebijakan operasional yang telah ditentukan manajemen, untuk mengetahui apakah kegiatan operasi tersebut sudah dilakukan secara efektif, efisien dan ekonomis.

Dari beberapa pengertian diatas, kelompok kami menyimpulakan bahwa Management Audit adalah pemeriksaan terhadap efektivitas dan efisiensi pelaksanaan kegiatan manajemen, yang meliputi semua aspek manajemen mulai dari perencanaan, kegiatan operasional, pengawasan dan pelaporan. 

   B.     Tujuan Pengelolaan Audit 
Ramanathan (1993:300) mengatakan bahwa management audit berkaitan dengan audit efisiensi dimana tujuan utama dari audit efisiensi ini adalah untuk memastikan bahwa tiap unit mata uang diinvestasikan dalam modal atau tempat lain yang memberikan pengembalian yang optimum dan bahwa perencanaan investasi antara berbagai fungsi dan aspek yang berbeda dirancang untuk memberikan hasil yang optimum.
Tujuan management audit menurut Agoes (1996:173) adalah sebagai berikut :
1.      Untuk menilai kinerja (performance) dari manajemen dan berbagai fungsi dalam perusahaan.
2.      Untuk menilai apakah berbagai sumber daya (manusia, mesin, dana, harta lainnya) yang dimiliki perusaan telah digunakan secara efisien dan ekonomis.
3.      Untuk menilai efektifitas perusahaan dalam mencapai tujuan (objective) yang telah ditetapkan oleh top management.
4.      Untuk dapat memeberikan rekomendasi kepada top management dalam memperbaiki kelemahan-kelemahan yang terdapat dalam penerapan struktur pengendalian intern sistem pengendalian manajemen dan prosedur operasional perusahaan dalam rangka meningkatkan efisiensi keekonomisan dan efektivitas dari kegiatan operasi perusahaan.

   C.    Kebijakan, Standar, Prosedur, dan Pedoman Audit menurut ISACA
ISACA standards, guidelines, and procedures yang secara teknis diatur dalam CObIT (Control Objectives for Information and Related Technology), meliputi:
·         CObIT Executive summary
·         CObIT Framework
·         CObIT Control Objectives
·         CObIT Control Practices
·         CObIT Management Guidelines
·         CObIT Security Baseline.
IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intruction detection system, menganalisis firewall dan sebagainya

Menurut Information Systems Audit and Control Association (ISACA) standar untuk audit sistem informasi adalah:
010
Audit Chapter
010.010
Responsibility, Authority and Accountability (definisi dari tanggung jawab, otoritas, dan accountability dari fungsi audit SI lebih tepat bila didokumentasikan dalam suatu surat perjanjian)
020
Independence
020.010
Professional Independence (auditor harus bersikap independen dalam tingkah laku dan tindakannya)
020.020
Organizational Relationship (fungsi audit SI harus berada independen dari area yg diaudit untuk mencapai tujuan objektivitas dari suatu proses audit)
030
Professional Ethics and Standard
030.010
Code of Professional Ethics (auditor SI harus menghormati dan menaati etika profesional dari ISACA)
030.020
Due Professional Care (standar auditing professional harus diterapkan dalam segala aspek pekerjaan yang dilakukan oleh auditor SI)
040
Competence
040.010
Continuing Professional Education (auditor SI harus memaintain kompeteni teknikal melalui pendidikan lanjut profesional)
050
Planning
050.010
Audit Planning (auditor SI harus merencanakan perencanaan audit sistem utk menempatkan tujuan audit dan utk melengkapi standar profesional audit).
060
Performance of Audit Work
060.010
Supervision (staf dari audit SI harus tepat utk dapat menjamin tujuan dari audit dijalankan dan standar profesional auditing dapat terpenuhi).
060.020
Evidence (selama masa pekerjaan audit auditor SI harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai \ tujuan objektif dari suatu audit)
070
Reporting
070.010
Report Content and Form (auditor SI harus menyediakan report dalam bentuk yg tepat pada saat penyelesaian tugas audit. Laporan audit berupa lingkup, tujuan, periode audit, dan lingkungan dimana audit dijalankan. Laporan audit harus
mengidentifikasikan permasalahan yang terjadi dalam jangka waktu audit. Laporan audit juga untuk memberikan rekomendasi dari layanan atau kualifikasi yang diberikan auditor terhadap tugas audit yang dijalankan)
080
Follow Up Activities
080.010
Follow Up (auditor SI harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu periode waktu).

   D.    Pengertian Analisis Resiko
Menurut Pelter analisis risiko adalah proses mengidentifikasi aset dan ancaman, memprioritaskan ancaman kerentanan dan mengidentifikasi tindakan yang tepat untuk dilakukan. Menurut knutson analisis risiko adalah tindakan untuk menganalisis proyek berdasarkan hasil dari penilaian risiko dan menyediakan dasar untuk membuat keputusan dan mengembangkan rencana untuk mengurangi dampak dari risiko.
Sedangkan menurut kerzner analisis risiko adalah proses mengkaji setiap persoalan risiko yang teridentifikas atau proses meguraikan deskripsi dari risiko, mengisolasi sumbernya, dan meramalkan efeknya.

   E.     Cara Melakukan Analisis Resiko
Menurut J. W. Meritt, terdapat beberapa hal atau langkah yang perlu diperhatikan dalam menerapkan metode analisis resiko secara umum, yaitu sebagai berikut :
  1. Pertama, menentukan ruang lingkup (scope statement). Hal ini harus dipercayai oleh semua kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan secara tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko yang akan digunakan, dan mengajukan hasil yang diharapkan.
  2. Menetapkan aset (asset pricing). Pada langkah kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam ruang lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.
  3. Risks and Threats.  Resiko (risk) adalah sesuatu yang dapat menyebabkan kerugian atau mengurangi nilai kegunaan operasional sistem. Sedangkan ancaman (threats) adalah segala sesuatu yang harus dipertimbangkan karena kemungkinannya yang dapat terjadi secara bebas di luar sistem sehingga memunculkan satu resiko.
  4. Menentukan koefisien dampak. Semua aset memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal sama sekali.
  5. Single loss expectancy atau ekspetasi kerugian tunggal. Pada poin ini, Meritt menjelaskan bahwa aset-aset yang berbeda akan menanggapi secara berbedap pula ancaman-ancaman yang diketahui.
  6. Group evaluation atau evaluasi kelompok, yaitu langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan ini harus terdiri dari individu yang memiliki pengetahuan tentang komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode hibrida dalam analisis resiko dilakukan.
  7. Melakukan kalkulasi (penghitungan) dan analisis. Terdapat dua macam analisis. Pertama, across asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset tertentu yang perlu mendapat perlindungan paling utama. Kedua, across risk, yaitu analisis yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang paling harus dijaga.
  8. Controls atau pengendalian, yaitu segala hal yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan ancaman serta memperbaiki sistem.
  9. Melakukan analisis terhadai control atau pengendalian. Ada dua metode yang dapat dilakukan dalam menganalisis aksi kontrol ini, yaitu cost and benefit ratio dan risk or control.

   F.     Pengertian Pengendalian Internal
Secara umum, pengendalian internal diartikan sebagai bagian dari masing-masing sistem yang dipergunakan sebagai prosedur dan pedoman operasional perusahaan atau organisasi tertentu. Perusahaan pada umumnya menggunakan Sistem Pengendalian Internal untuk mengarahkan operasi perusahaan dan mencegah terjadinya penyalahgunaan system sehingga tercipta kefisiensi dan efektifitas kinerja perusahaan
            Adapung pengertian pengendalian internal menurut beberapa ahli, antara lain :
a. Menurut Mulyadi (2002 : 181), menyatakan bahwa, “Sistem Pengendalian Internal adalah suatu proses yang dijalankan oleh dewan komisaris, manajemen, dan personel lain, yang didesain untuk memberikan keyakinan memadai tentang pencapaian tiga golongan tujuan yakni kendala pelaporan keuangan, kepatuhan terhadap hukum dan peraturan yang berlaku, efektivitas dan efisiensi operasi”

d. Menurut AICPA (Baidaie, 2005 : 44), ”Pengendalian Internal adalah suatu proses yang dipengaruhi (affected by) board of directors, manajemen dan pegawai lainnya, yang dirancang untuk memberikan keyakinan yang layak (reasonable insurance) dapat dicapainya tujuan-tujuan yang berkaitan dengan :
1.      dapat dipercayainya laporan keuangan,
2.      efektivitas san efisiensi operasi, dan
3.      ketaatan terhadap peraturan perundang-undangan yang berlaku.

   G.    Perlunya Pengendalian Internal
Pengendalian internal sangatlah dibutuhkan disetiap perusahaan ataupun organisasi. Karena dengan adanya pengendalian internal ini, semua system yang ada dapa saling terhubung dan terintegrasi.
Menurut Niswonger Warren Reeve Fees (2000 : 184), perlunya pengendalian internal yaitu memberikan jaminan yang wajar bahwa setiap bank melakukan suatu control yang dapat meminimalisasi penyimpangan-penyimpangan yang akan terjadi.
Sedangkan menurut Mulyadi (2002 : 178) manfaat pengendalian internal terbagi menjadi dua bagian yaitu:
1) Menjaga kekayaan perusahaan
     a. Penggunaan kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan,
     b. Pertanggungjawaban kekayaan perusahaan yang dicatat dibandingkan dengan kekayaan yang sesungguhnya.
2) Mengecek ketelitian dan keandalan data akuntansi
     a. Pelaksanaan transaksi melalui sistem otorisasi yang telah ditetapkan,
     b. Pencatatan transaksi yang terjadi tercatat dengan benar di dalam catatan akuntansi perusahaan.

Sumber

·         http://repository.usu.ac.id/bitstream/123456789/21052/3/Chapter%20II.pdf
·         http://www.isaca.org/KNOWLEDGE-CENTER/STANDARDS/Pages/default.aspx
·     https://docs.google.com/viewer?a=v&q=cache:B_sFdhkXRfAJ:www.isaca.org/Knowledge-Center/Standards/Documents/ALL-IT-Standards-Guidelines-and-Tools.pdf+&hl=en&pid=bl&srcid=ADGEESj67HTSNRQjdwHgeXvRcaMllTr_NmHBpkGIBCY7AB9zXkYg1Sgh7-n5_QJjMCeR64aXvOMmk5WoxpTvPE-Tp-K1JRQHtFlC_xKRVxZiBIVGbLZnhnBbqlNlzpLeSIyax3kJ13iP&sig=AHIEtbRXM0QGmt2F5BtJwc7uz_KWyI-hsA
·         http://manshurzikri.wordpress.com/2012/06/04/analisis-resiko-dan-beberapa-metodologinya/
·         http://library.binus.ac.id/eColls/eThesis/Bab2/LHM2006-92-bab%202.pdf



0 comments:

Posting Komentar

Langganan: Posting Komentar (Atom)