ASPEK PADA MANAGEMENT CONTROL FRAMEWORK

1. Defining, creating, redefining, retiring data (dengan wawancara, observasi)
2. Membuat database tersedia untuk semua user
3. Menginformasikan dan melayani user
4. Memelihara integritas data
5. Monitoring operations

KENDALI ATAU KONTROL AUDIT SISTEM INFORMASI

1.1 Kendali Internal

Proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi mencapai satu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.

1.2 Ruang Lingkup Kendali Internal

Menilai keefektifan sistem pengendalian internal, pengevaluasian terhadap kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki organisasi, serta kualitas pelaksanaan tanggungjawab yang diberikan.

1.3 Sistem Kendali Internal

Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan program perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.

2.1 Control Objectives

Efektifitas proses departemen dalam mendukung desain dan persetujuan kerangka pengendalian program berbasis risiko dan mengatur dan mendukung pengumpulan dan penggunaan laporan penerima.

2.2 Control Risks

Risiko pengendalian adalah salah satu material yang tidak dapat dicegah ataupun dideteksi secara tepat paada waktunya oleh berbagai kebijakan dan prosedur struktur pengendalian internal perusahaan.

3.1 Management Control Framework

Mengumpulkan dan menggunakan infomasi unuk mengevaluasi kenerja berbagai sumber dya organisasi secara keseluruhan.

3.2 Application Control Framework

Sistem pengendalian internal komputer yang berkaitan dengan pekerjaan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.

4.1 Corporate IT Governance

Kumpulan kebijakan, proses atau aktifitas dan prosedur untuk mendukung pengoperasian IT agar hasilnya sejalan dengan strategi bisnis. 

KONSEP DASAR KONTROL, STANDAR DAN PANDUAN AUDIT SISTEM INFROMASI

1. Konsep Dasar Kontrol dan Audit Sistem Informasi

Untuk mengetahui apakah pengelolaan sistem dan teknologi informasi telah mencapai tujuan stategisnya, seperti meningkatkan perlindungan terhadap aset-aset (Asset Saveguard), menjaga integritas data (Data Integrity), meningkatkan efektifitas sistem (Effectivity), dan meningkatkan efisinsi system (Efficiency).

2. Standar dan Panduan Audit Sistem Informasi

Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya.

PERBANDINGAN KELEBIHAN DAN KEKURANGAN STANDAR AUDIT SI

Audit Sistem Informasi	Kelebihan	Kekurangan
COBIT	Rahasia Integritas Dapat memberi proteksi terhadap informasi yg sensitif dari akses orang tidak bertanggung jawab	Cobit hanya berfokus pada kendali dan pengukuran Cobit hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional
ITIL (Information Technology Infrastructure Library)	Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur Bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti.	Buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.
ISO/IEC 38500	Menjamin akuntabilitas diberikan untuk semua Resiko IT dan aktivitasnya Memberikan panduan kepada advisor perusahaan. Memberikan prinsip panduan bagi direksi organisasi (termasuk pemilik, anggota dewan, direktur, mitra, eksekutif senior, atau yang sejenisnya) mengenai penggunaan Teknologi Informasi (TI) yang efektif, efisien, dan dapat diterima di dalam organisasi mereka.	Tidak cocok digunakan sebagai IT management framework

LEMBAGA - LEMBAGA AUDIT SISTEM INFORMASI

1. Ikatan Audit Sistem Informasi Indonesia (IASII)

Lembaga ini berdiri pada 20 Mei 2014. Dibentuk oleh beberapa praktisi dari berbagai universitas dan organisasi lainnya dibidang sistem informasi. Lembaga ini memiliki tujuan yaitu untuk menghindari penyimpangan dalam penggunaan sistem informasi yang semakin pesat di Indonesia.

2. Lembaga Pengembangan Auditor Internal (LPAI)

Merupakan lembaga yang concern terhadap pengembangan SDM bidang audit internal. Sebagai salah satu divisi training dari Proesdeem Indonesia lembaga konsultan manajemen yang sejak 1995 memfokuskan kegiatannya pada pelatihan manajemen. LPÄI menyelenggarakan pelatihan internal audit dan fraud audit secara lengkap, terprogram-berkesinambungan, serta kurikulum berkualitas. Pelatihan yang diselenggarakan oleh LPAI senantiasa dievaluasi dan diupdate mengacu pada perkembangan pengetahuan dan praktek bisnis paling mutakhir, dimana benchmarknya adalah lembaga-lembaga internal audit dan fraud audit yang sudah dikenal baik reputasinya di dunia.

3. Badan Pemeriksa Keuangan Republik Indonesia (BPK RI)

BPK RI didirikan tahun 1946 yang bertugas untuk melakukan audit yang berkaitan dengan pengelolaan keuangan negara dan tanggung jawab yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lain seperti Bank Indonesia, BUMN, BUMD, Dewan Pelayanan Publik, dan lembaga lain yang mengelola keuangan negara. BPK RI menyerahkan hasil audit kepada DPR, DPD, dan DPRD sesua dengan kewnangan masing-masing.

STANDAR DAN PANDUAN UNTUK AUDIT SISTEM INFORMASI

1. ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi. ISACA telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

2. IIA COSO

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) dan The Institute of Management Accountants (IMA).

3. ISO 1799

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:

• pengorganisasian keamanan informasi.
• manajemen aset.
• keamanan sumber daya manusia.
• keamanan fisik dan lingkungan.
• komunikasi dan manajemen operasi.

ANALISIS RISIKO

Analisis risiko adalah sebuah teknik untuk mengidentifikasi dan menilai faktor-faktor yang dapat membahayakan keberhasilan sebuah bisnis, program, proyek, atau individu untuk mencapai tujuan. Teknik ini juga membantu menentukan tindakan pencegahan untuk mengurangi kemungkinan faktor itu terjadi dan mengidentifikasi tindakan yang berhasil menangani kendala-kendala yang berkembang.

Analisis risiko merupakan bagian dari manajemen risiko, yang terdiri dari langkah-langkah sebagai berikut:

1. Identifikasi kemungkinan kondisi, peristiwa, atau situasi negatif eksternal dan internal.
2. Penentuan hubungan sebab-akibat antara peluang kejadian, skalanya, dan kemungkinan dampaknya.
3. Evaluasi berbagai dampak di bawah asumsi dan probabilitas yang berbeda.
4. Penerapan teknik kualitatif dan kuantitatif untuk mengurangi ketidakpastian dari dampak dan biaya, kewajiban, atau kerugian.

JENIS - JENIS AUDIT

1. Audit internal

Mempunyai tugas membantu manajemen puncak (top management) dalam mengawasi asset (saveguard of asset) dan mengawasi kegiatan operasional perusahaan sehari-hari. bekerja untuk perusahaan yang mereka audit, oleh karena itu tugas auditor intern adalah mengaudit manajemen perusahaan termasuk compliance audit.

2. Audit sistem informasi

Yaitu pemeriksaan yang dilakukan Kantor Akuntan Publik (KAP) terhadap perusahaan yang melakukan proses data akuntansi, umumnya menggunakan system Elektronik Data Processing (EDP). Auditor harus memperhatikan hal-hal berikut :

• Perlengkapan keamanan melindungi perlengkapan computer baik program, komunikasi, atau data dari akses yang tidak sah, modifikasi bahkan penghancuran.
• Pengembangan program yang dilakukan atas otorisasi khusus dan umum dari pihak manajemen perusahaan.
• Pemrosesan transaksi, file, laporan dan catatan computer dengan akurat dan lengkap.
• Data file laporan yang tersimpan di computer sangat dijaga kerahasiaanya.

3. Audit kecurangan

Audit kecurangan adalah berbagai prosedur yang dilakukan untuk memeriksa apakah suatu laporan keuangan perusahaan terindikasi telah terjadi suatu bentuk kecurangan yang dilakukan secara sengaja oleh pihak-pihak tertentu sehingga menimbulkan salah saji sehingga bisa menipu para pengguna laporan keuangan.

4. Audit eksternal

Bekerja untuk lembaga / kantor akuntan publik (pihak ke-3) yang statusnya diluar struktur perusahaan yang mereka audit dan bekerja secara independent dan objektif. Umumnya auditor ekstern menghasilkan laporan financial audit.

5. Audit keuangan

Audit keuangan merupakan penilaian atas suatu perusahaan atau badan hukum lainnya (termasuk pemerintah) sehingga dapat dihasilkan pendapat yang independen tentang laporan keuangan yang relevan, akurat, lengkap, dan disajikan secara wajar. Audit keuangan biasanya dilakukan oleh firma-firma akuntan karena pengetahuannya akan laporan keuangan.