2.

Mengidentifikasi prosedur pengendalian untuk mencegah, mendeteksi atau mengoreksi

ancaman tersebut. Ini terdiri dari semua pengendalian yang diterapkan oleh manajemen dan
yang harus direviu oleh auditor serta diuji, dalam rangka mengurangi ancaman.
3. Evaluasi atas prosedur pengendalian, pengendalian dievaluasi dengan dua cara:
a. Reviu system untuk mementukan apakah prosedur pengendalian sudah dijalankan.
b. Uji pengendalian yang dilakukan untuk menentukan apakah pengendalian yang sudah ada
berjalan sebagaimana yang diinginkan.
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya terhadap sifat, waktu
atau keluasan prosedur audit. Jika auditor menentukan bahwa risiko pengendalian terlalu
tinggi karena system pengendalian tidak memadai, auditor harus mendapatkan lebih banyak
bukti, bukti audit yang lebih baik, atau bukti audit yang tepat waktu. Kelemahan
pengendalian di suatu area dapat diterima jika ada pengendalian pengganti dia area lain.
7.2 Merancang Suatu Rencana untuk Mengevaluasi Pengendalian Internal dalam Sistem
Informasi
Rancangan suatu rencana untuk mengevaluas pengendalian internal dalam system informasi
menggunakan pendekatan audit berbasis risiko digunakan untuk mengevaluasi keenam tujuan
audit sebagaimana dijelaskan sebelumnya. Kerangka audit untuk mengevaluasi pengendalian
internal dalam system informasi dipaparkan sebagai berikut:
7.2.1 Tujuan Audit 1 : Keamanan secara Keseluruhan
Kerangka audit berbasis risiko untuk memenuhi tujuan audit ini adalah sebagai berikut:
1. Jenis kesalahan dan kecurangan yang mungkin terjadi dalam mengevaluasi tujuan audit ini
Antara lain:
a. Pencurian piranti keras atau kerusakan yang disengaja maupun tidak.
b. Kahilangan, pencurian, atau akses yang tidak sah terhadap program, data dan sumbersumber system lainnya.
c. Kehilangan, pencurian, atau akses yang tidak sah atas data yang sifatnya rahasia;
d. Modifikasi yang tidak sah atau penggunaan program dan arsip data secara tidak sah.
e. Gangguan atas aktivitas-aktivitas bisnis yang utama.
2. Prosedur pengendalian yang seharusnya diterapkan Antara lain:
a. Rencana perlindungan atau pengamanan informasi
b. Pembatasan akses fisik terhadap peralatan computer
c. Pengendalian atas penyimpanan data dan transmisi data.
d. Prosedur perlindungan terhadap serangan virus.
e. Prosedur pencadangan data dan pemulihan data.
f. Rancangan system toleransi-kegagalan.
g. Rancangan untuk mengatasi kerusakan system.
h. Pemeliharaan pencegahan.
i. Firewall
3. Prosedur audit untuk mereviu system, terdiri dari:

a.
b.
c.
d.
e.
f.
g.
h.
i.

Inspeksi di lokasi tempat penyimpanan peralatan computer;

Reviu keamanan/perlidungan informasi dan rencana untuk mengatasi kerusakan system;
Wawancara dengan personil system informasi mengenai prosedur keamanan;
Reviu atas kebijakan dan prosedur akses fisik dan akses logis;
Reviu kebijakan dan prosedur pencadangan dan pemulihan arsip;
Reviu kebijakan dan prosedur penyimpanan san transmisi data;
Reviu kebijakan dan prosedur untuk meminimalisir kegagalan system;
Reviu kontrak pemilaharaan dengan vendor;
Memeriksa log/catatan akses system.

4. Prosedur audit untuk menguji pengendalian, terdiri dari:

a. Mengamati dan menguji prosedur akses ke lokasi tempat penyimpanan peralatan
computer;
b. Mengamati penyiapan penyimpanan dan pencadangan data on-site maupun off-site;
c. Menguji prosedur pemberian dan modifikasi atas user ID dan kata kunci;
d. Menyelidiki bagaimana cara untuk mengatasi akses-akses yang tidak sah;
e. Memverifikasi keluasan dan efektivitas enkripsi data;
f. Memverifikasi keefektifan pengendalian tranmisi data;
g. Memverifikasi keefektifan penggunaan firewall dan prosedur perlindungan atas virus;
h. Memverifikasi jumlah dan keterbatasan cakupan asuransi;
i. Memeriksa hasil dari simulasi rencana pemulihan kerusakan data.
5. Pengendalian pengganti yang mungkin ada Antara lain:
a. Kebijakan personil yang mendukung termasuk pemisahan tugas;
b. Pengendalian pengguna yang efektif.
7.2.2 Tujuan Audit 2 : Pengembangan dan Akuisisi Program
Kerangka audit berbasis risiko untuk mengevalusi tujuan audit atas pengembangan dan akuisisi
program terdiri dari:
1. Jenis kesalahan dan kecurangan yang mungkin terjadi dalam mengevaluasi tujuan audit terdiri
dari:
a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak sah.
2. Prosedur pengendalian yang seharusnya diterapkan/ada Antara lain:
a. Mereviu persetujuan lisensi piranti lunak;
b. Pengelolaan otorisasi pengembangan program dan perolehan piranti lunak;
c. Pengelolaan dan persetujuan pengguna atas spesifikasi pemrograman;
d. Pengujian secara menyeluruh atas program-program baru, termasuk melakukan useracceptance test;
e. Dokumentasi system yang lengkap, termasuk persetujuannya.
3. Prosedur audit untuk mereviu system, terdiri dari:
a. Reviu independen atas proses pengembangan system;
b. Reviu kebijakan dan prosedur pengembangan/perolehan system;

c.
d.
e.
f.
g.
h.
i.

Reviu kebijakan dan prosedur otorisasi system dan persetujuan;

Reviu standar evaluasi pemrograman;
Reviu standar program dan dokumentasi system;
Reviu atas uji spesifikasi, uji data dan hasil pengujiannya;
Reviu atas kebijakan dan prosedur uji persetujuan;
Reviu atas kebijakan dan prosedur perolehan persetujuan lisensi piranti lunak;
Diskusi dengan manajemen, para pengguna, dan personil system informasi terkait dengan
prosedur pengembangan.

4. Prosedur audit untuk menguji pengendalian, terdiri dari:

a. Wawancara dengan pengguna atas keterlibatan mereka dalam perolehan/pengembangan
system dan implementasinya;
b. Reviu notulensi rapat tim pengembangan untuk membutikan keterlibatannya dalam
pengembangan/perolehan system;
c. Verifikasi pengelolaan dan persetujuan sign-off pengguna pada setiap tahap-tahap
pengembangan;
d. Reviu atas pengujian spesifikasi, pengujian data, hasil pengujiannya;
e. Reviu atas persetujuan lisensi piranti lunak.
5. Pengendalian pengganti yang mungkin ada Antara lain:
a. Pengendalian pemrosesan yang kuat;
b. Pemrosesan independen atas pengguna data oleh auditor.
7.2.3 Tujuan Audit 3 : Modifikasi Program
kerangka audit berbasis risiko untuk mengevaluasi tujuan audit atas modifikasi program terdiri
dari:
1. Jenis kesalahan dan kecurangan yang mungkin terjadi dalam mengevaluasi tujuan audit
Antara lain:
a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak sah.
2. Prosedur pengendalian yang seharusnya diterapkan/ada Antara lain:
a. Daftar komponen program yang akan dimodifikasi;
b. Manajemen otorisasi dan persetujuan atas modifikasi program;
c. Persetujuan pengguna atas spesifikasi perubahan program;
d. Tes menyeluruh atas perubahan program, termasuk melakukan user acceptance test;
e. Dokumentasi lengkap atas perubahan program termasuk persetujuannya;
f. Pemisahann pengembangan pengujian dan hasil dari setiap versi program;
g. Pengendalian atas akses logis.
3. Prosedur audit untuk mereviu system, terdiri dari:
a. Reviu kebijakan, prosedur dan standar modifikasi program;
b. Reviu standar dokumentasi untuk modifikasi program;
c. Reviu dokumentasi akhir dari modifikasi program;
d. Reviu apengujian modifikasi program dan prosedur pengujian persetujuan;
e. Reviu uji spesifikasi, uji data dan hasil pengujiannya;

f. Reviu kebijakan dan prosedur uji persetujuannya;

g. Reviu standar evaluasi pemograman;
h. Diskusi kebijakan dan prosedur modifikasi dengan manajemen, para pengguna dan
personil system;
i. Reviu kebijakan dan prosedur pengendalian atas akses logis.