Pengertian Evidance (Bukti), Audit Test, dan Referensi Kontrol TI

Pengertian Evidance (Bukti), Audit Test, dan Referensi Kontrol TI

Gambar 1: referensi audit TI

- Audit TI àpengumpulan dan evaluasi evidance/bukti à analisa efektivitas sisitem informasi atas objektif bisnis.

- Relasi audit dengan assurance:

Lingkup assurance lebih luas dibandingkan dengan audit. Assurance melingkupi proses consulting dan self assessment, baik atesi maupun non atesi.

gambar 2 : relasi audit dan assurance

3 komponen utama assurance:

1. Provider assurance à auditor, konsultan management

2. Informasi/proses yang di assure à informasi keuangan dll

3. Pengguna / beneficiaries à yang mendapatkan value dari layanan assurance (perusahaan, pelanggan, investor).

Kriteria assurance : objectivity, measurability, understandability, completeness, relevance

- Tugas IS auditor adalah sbb:

IT control review

Risk analysis & consulting

Internal consulting

Investigasi adanya fraud berbasisi sistem informasi

gambar 3 : tugas seorang IS auditor 

- Auditor IT menggunakan dua tipe test untuk melakukan proses audit:

Complience test : digunakan untuk mengetahui status kepatuhan kepada rules atau regulation organisasi dan memberikan evidance akan eksistensi dan efektivitas kontrol-kontrol internal.

Substantive test : digunakan untuk memberikan evidance tentang validitas dan properti transaksi dan balance. Digunakan untuk menguji monetari error yang secara langsung akan memperngaruhi financial statement balance.

- Audit test à evaluasi atas evidance à finding

Jadi, evidance dihasilkan setelah dilakukannya audit test. Finding dihasilkan setelah adanya evaluasi atas evidance

- Finding sifatnya harus faktual. Diantara isi dari finding adalah sbb:

Criteria

Condition

Cause

Effect

Recommendation

- Audit program, dibagi menjadi 3 bagian:

gambar 4 : audit program

• Technical planning : isinya merupakan pemahaman akan organisasi, lingkungan bisnis, mekanisme, mekanisme kontrol internal, risiko dalam penggunaan SI
• Logistical planning : perencanaan SDM, Biaya dan teknikal: budgeting, time schedul
• Risk assessment : inventory dan kategorisasi SI yang digunakan, penentuan dampak atas fungsi/aset kritikal, penentuan prioritas audit.

- Pengertian Evidance: bukti yang digunakan untuk menentukan sejauh mana analisa dapat dilakukan untuk menjawab objektif yang ditentukan.

- Pengertian penyusunan rencana exit conference:

Sebuah penyusunan untuk mendapatkan verifikasi, persetujuan, dan komentar dari auditee (IS manager) dan management.

- Pengertian program follow up: sebuah program yang akan menjadi dasar dalam menutup defisiensi yang ditemukan dalam durasi waktu tertentu sehingga risiko bisa dikelola secara memadai.

KONTROL IT = GENERAL CONTROL + APPLICATION CONTROL

GENERAL CONTROL mencakup:

• Aplikasi bisnis
• Infrastruktur,
• Fasilitas
• SDM

APPALICATION CONTROL mencakup:

• Logical access control
• Input control
• Processing control
• Output control
• Authorization control

- REFERENSI KONTROL IT : misalnya seperti COBIT, ITIL , ISO22300, ISO27000, yang dapat dijadikan sebagai panduan dalam melakukan kontrol TI (audit).

- Managemen risiko IT berdasarkan ISO 27005: 2008

1. CONTEXT ESTABLISHMENT
2. RISK IDENTIFICATION
3. RISK ESTIMATION
4. RISK EVALUATION
5. RISK TREATMENT
6. RISK ACCEPTANCE
7. RISK COMMUNICATION
8. RISK MONITORING & REVIEW

gambar 5 : management risiko TI berdara ISO 27005 : 2008