Mengidentifikasi prosedur pengendalian untuk mencegah, mendeteksi atau mengoreksi
ancaman tersebut. Ini terdiri dari semua pengendalian yang diterapkan oleh manajemen dan yang harus direviu oleh auditor serta diuji, dalam rangka mengurangi ancaman. 3. Evaluasi atas prosedur pengendalian, pengendalian dievaluasi dengan dua cara: a. Reviu system untuk mementukan apakah prosedur pengendalian sudah dijalankan. b. Uji pengendalian yang dilakukan untuk menentukan apakah pengendalian yang sudah ada berjalan sebagaimana yang diinginkan. 4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya terhadap sifat, waktu atau keluasan prosedur audit. Jika auditor menentukan bahwa risiko pengendalian terlalu tinggi karena system pengendalian tidak memadai, auditor harus mendapatkan lebih banyak bukti, bukti audit yang lebih baik, atau bukti audit yang tepat waktu. Kelemahan pengendalian di suatu area dapat diterima jika ada pengendalian pengganti dia area lain. 7.2 Merancang Suatu Rencana untuk Mengevaluasi Pengendalian Internal dalam Sistem Informasi Rancangan suatu rencana untuk mengevaluas pengendalian internal dalam system informasi menggunakan pendekatan audit berbasis risiko digunakan untuk mengevaluasi keenam tujuan audit sebagaimana dijelaskan sebelumnya. Kerangka audit untuk mengevaluasi pengendalian internal dalam system informasi dipaparkan sebagai berikut: 7.2.1 Tujuan Audit 1 : Keamanan secara Keseluruhan Kerangka audit berbasis risiko untuk memenuhi tujuan audit ini adalah sebagai berikut: 1. Jenis kesalahan dan kecurangan yang mungkin terjadi dalam mengevaluasi tujuan audit ini Antara lain: a. Pencurian piranti keras atau kerusakan yang disengaja maupun tidak. b. Kahilangan, pencurian, atau akses yang tidak sah terhadap program, data dan sumbersumber system lainnya. c. Kehilangan, pencurian, atau akses yang tidak sah atas data yang sifatnya rahasia; d. Modifikasi yang tidak sah atau penggunaan program dan arsip data secara tidak sah. e. Gangguan atas aktivitas-aktivitas bisnis yang utama. 2. Prosedur pengendalian yang seharusnya diterapkan Antara lain: a. Rencana perlindungan atau pengamanan informasi b. Pembatasan akses fisik terhadap peralatan computer c. Pengendalian atas penyimpanan data dan transmisi data. d. Prosedur perlindungan terhadap serangan virus. e. Prosedur pencadangan data dan pemulihan data. f. Rancangan system toleransi-kegagalan. g. Rancangan untuk mengatasi kerusakan system. h. Pemeliharaan pencegahan. i. Firewall 3. Prosedur audit untuk mereviu system, terdiri dari:
a. b. c. d. e. f. g. h. i.
Inspeksi di lokasi tempat penyimpanan peralatan computer;
Reviu keamanan/perlidungan informasi dan rencana untuk mengatasi kerusakan system; Wawancara dengan personil system informasi mengenai prosedur keamanan; Reviu atas kebijakan dan prosedur akses fisik dan akses logis; Reviu kebijakan dan prosedur pencadangan dan pemulihan arsip; Reviu kebijakan dan prosedur penyimpanan san transmisi data; Reviu kebijakan dan prosedur untuk meminimalisir kegagalan system; Reviu kontrak pemilaharaan dengan vendor; Memeriksa log/catatan akses system.
4. Prosedur audit untuk menguji pengendalian, terdiri dari:
a. Mengamati dan menguji prosedur akses ke lokasi tempat penyimpanan peralatan computer; b. Mengamati penyiapan penyimpanan dan pencadangan data on-site maupun off-site; c. Menguji prosedur pemberian dan modifikasi atas user ID dan kata kunci; d. Menyelidiki bagaimana cara untuk mengatasi akses-akses yang tidak sah; e. Memverifikasi keluasan dan efektivitas enkripsi data; f. Memverifikasi keefektifan pengendalian tranmisi data; g. Memverifikasi keefektifan penggunaan firewall dan prosedur perlindungan atas virus; h. Memverifikasi jumlah dan keterbatasan cakupan asuransi; i. Memeriksa hasil dari simulasi rencana pemulihan kerusakan data. 5. Pengendalian pengganti yang mungkin ada Antara lain: a. Kebijakan personil yang mendukung termasuk pemisahan tugas; b. Pengendalian pengguna yang efektif. 7.2.2 Tujuan Audit 2 : Pengembangan dan Akuisisi Program Kerangka audit berbasis risiko untuk mengevalusi tujuan audit atas pengembangan dan akuisisi program terdiri dari: 1. Jenis kesalahan dan kecurangan yang mungkin terjadi dalam mengevaluasi tujuan audit terdiri dari: a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak sah. 2. Prosedur pengendalian yang seharusnya diterapkan/ada Antara lain: a. Mereviu persetujuan lisensi piranti lunak; b. Pengelolaan otorisasi pengembangan program dan perolehan piranti lunak; c. Pengelolaan dan persetujuan pengguna atas spesifikasi pemrograman; d. Pengujian secara menyeluruh atas program-program baru, termasuk melakukan useracceptance test; e. Dokumentasi system yang lengkap, termasuk persetujuannya. 3. Prosedur audit untuk mereviu system, terdiri dari: a. Reviu independen atas proses pengembangan system; b. Reviu kebijakan dan prosedur pengembangan/perolehan system;
c. d. e. f. g. h. i.
Reviu kebijakan dan prosedur otorisasi system dan persetujuan;
Reviu standar evaluasi pemrograman; Reviu standar program dan dokumentasi system; Reviu atas uji spesifikasi, uji data dan hasil pengujiannya; Reviu atas kebijakan dan prosedur uji persetujuan; Reviu atas kebijakan dan prosedur perolehan persetujuan lisensi piranti lunak; Diskusi dengan manajemen, para pengguna, dan personil system informasi terkait dengan prosedur pengembangan.
4. Prosedur audit untuk menguji pengendalian, terdiri dari:
a. Wawancara dengan pengguna atas keterlibatan mereka dalam perolehan/pengembangan system dan implementasinya; b. Reviu notulensi rapat tim pengembangan untuk membutikan keterlibatannya dalam pengembangan/perolehan system; c. Verifikasi pengelolaan dan persetujuan sign-off pengguna pada setiap tahap-tahap pengembangan; d. Reviu atas pengujian spesifikasi, pengujian data, hasil pengujiannya; e. Reviu atas persetujuan lisensi piranti lunak. 5. Pengendalian pengganti yang mungkin ada Antara lain: a. Pengendalian pemrosesan yang kuat; b. Pemrosesan independen atas pengguna data oleh auditor. 7.2.3 Tujuan Audit 3 : Modifikasi Program kerangka audit berbasis risiko untuk mengevaluasi tujuan audit atas modifikasi program terdiri dari: 1. Jenis kesalahan dan kecurangan yang mungkin terjadi dalam mengevaluasi tujuan audit Antara lain: a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak sah. 2. Prosedur pengendalian yang seharusnya diterapkan/ada Antara lain: a. Daftar komponen program yang akan dimodifikasi; b. Manajemen otorisasi dan persetujuan atas modifikasi program; c. Persetujuan pengguna atas spesifikasi perubahan program; d. Tes menyeluruh atas perubahan program, termasuk melakukan user acceptance test; e. Dokumentasi lengkap atas perubahan program termasuk persetujuannya; f. Pemisahann pengembangan pengujian dan hasil dari setiap versi program; g. Pengendalian atas akses logis. 3. Prosedur audit untuk mereviu system, terdiri dari: a. Reviu kebijakan, prosedur dan standar modifikasi program; b. Reviu standar dokumentasi untuk modifikasi program; c. Reviu dokumentasi akhir dari modifikasi program; d. Reviu apengujian modifikasi program dan prosedur pengujian persetujuan; e. Reviu uji spesifikasi, uji data dan hasil pengujiannya;
f. Reviu kebijakan dan prosedur uji persetujuannya;
g. Reviu standar evaluasi pemograman; h. Diskusi kebijakan dan prosedur modifikasi dengan manajemen, para pengguna dan personil system; i. Reviu kebijakan dan prosedur pengendalian atas akses logis.