9. IS Auditor apabila menemukan kegiatan yang mencurigakan / ilegal, harus dilaporkan kepada mangement secepatnya.
10. IS Auditor apabila menemukan management atau pekerja yang melakukan kegiatan yang mencurigakan / ilegal, harus dilaporkan ke pemerintah.
11. IS Auditor harus memberitahukan ke management dan pemerintah mengenai disain dan implementasi dari internal kontrol.
12. IS Auditor harus mempertimbangkan suatu keadaan yang legal dan pertanggung jawaban profesional apabila mengalami permasalahan ketika melaksanakan audit.
13. IS Auditor harus mendokumentasikan seluruh komunikasi, perencanaan, evaluasi dan kesimpulan.
S10 IT Governance
ISACA Standard berisi prinsip dasar dan prosedur penting, yang dikenalkan dihuruf yang dicetak tebal, didalamnya terdapat suatu kewajiban, bersama - sama dengan suatu petunjuk didalamnya. Maksud dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk pada area IT Governance yang IS Auditor butuhkan untuk melakukan pertimbangan selama proses audit.
Standard :
1. IS Auditor harus mereview dan menaksir apakah fungsi IS sesuai dengan misi, visi, nilai, tujuan dan strategi organisasi.
2. IS Auditor harus me-review apakah fungsi IS telah memiliki pernyataan yang benar mengenai hasil yang diharapkan bisnis dan menilai kesuksesan.
3. IS Auditor harus me-review dan menaksir efektifitas dari sumber daya IS dan performa dari proses management.
4. IS Auditor harus me-review dan menaksir pemenuhan secara legal, kualitas informasi dan lingkungan, persyaratan keamanan dan penggadaian.
5. Resiko – berdasarkan suatu pendekatan harus digunakan oleh IS Auditor untuk mengevaluasi fungsi IS.
6. IS Auditor harus me-review dan menaksir control environmental dari sebuah organisasi.
7. IS Auditor harus me-review dan menaksir resiko yang akan memberikan efek bagi lingkungan IS.
S11 Use of Risk Assessment in Audit Planning
ISACA Standard berisi prinsip dasar dan prosedur penting, yang dikenalkan dihuruf yang dicetak tebal, didalamnya terdapat suatu kewajiban, bersama - sama dengan suatu petunjuk didalamnya. Maksud dari IS Audit standard ini adalah menyediakan suatu standard dan petunjuk mengenai penggunaan dari penilaian resiko pada perencanaan audit.
Standard :
2. IS Auditor harus mengidentifikasi dan menaksir resiko yang relevant terhadap area yang sedang ditinjau ketika merencanakan peninjauan individu.
2.4.5 Teknik dan Praktek Audit Sistem Informasi
Menurut Gondodiyoto (2007, p 451), dalam melakukan audit sistem informasi dapat dilakukan dengan tiga pendekatan:
1. Audit di sekitar komputer (Audit Around The Computer)
Dalam pendekatan ini, Auditor dapat melangkah pada perumusan pendapat hanya dengan menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual (bukan sistem informasi berbasis komputer). Auditor tidak perlu menguji pengendalian sistem informasi berbasis komputer klien (yaitu terhadap file program/data di dalam komputer), melainkan cukup terhadap input dan output sistem aplikasi saja.
Keunggulan menggunakan pendekatan ini adalah : a. Pelaksanaan auditnya lebih sederhana.
b. Auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.
Kelemahannya adalah jika lingkungan berubah, kemungkinan sistem itu akan berubah dan perlu penyesuaian sistem atau program - programnya, bahkan mungkin struktur data / file, sehingga auditor tidak dapat menilai / menelaah apakah sistem masih berjalan dengan baik.
2. Audit melalui komputer (Audit Through The Computer)
Dalam pendekatan ini, auditor melakukan pemeriksaan langsung terhadap program - program dan file komputer yang ada pada audit sistem informasi berbasis komputer. Auditor menggunakan bantuan software komputer atau dengan cek logika atau listing program untuk menguji logika program dalam rangka pengujian pengendalian yang ada dalam komputer. Selain itu, auditor juga dapat meminta penjelasan dari para teknisi komputer mengenai spesifikasi sistem dan program yang diperiksanya.
Keunggulan menggunakan pendekatan ini adalah :
a. Auditor dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan.
b. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer.
c. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya. Kelemahannya adalah pendekatan ini memerlukan biaya yang besar dan memerlukan tenaga ahli yang terampil.
3. Audit dengan komputer (Audit With The Computer)
Pendekatan ini dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian substantif atas file dan record perusahaan. Software audit yang digunakan merupakan program komputer auditor untuk membantu dalam pengujian dan evaluasi kehandalan data, file atau record perusahaan.
Keunggulan menggunakan pendekatan ini adalah:
a. Merupakan program komputer yang diproses untuk membantu pengujian pengendalian sistem komputer klien itu sendiri.
b. Dapat melaksanakan tugas audit yang terpisah dari catatan klien, yaitu dengan mengambil copy data atau file untuk dites dengan komputer lain.
Kelemahannya adalah upaya dan biaya untuk pengembangan relatif besar.
2.4.6 Prosedur Audit Sistem Infromasi
Menurut Weber (1999, p 47 - 55), tahapan - tahapan audit sistem informasi terdiri dari:
1. Perencanaan Audit (Planning The Audit)
Merupakan tahapan pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan yang ada untuk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staff audit yang sesuai, melakukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien dan mengidentifikasikan area resiko.
2. Pengujian atas Kontrol (Tests of Controls)
Tahap ini dimulai dengan pemfokusan pada pengendalian manajemen, apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian manajemen tidak berjalan sebagaimana mestinya. Bila auditor menemukan kesalahan yang serius pada pengendalian manajemen, maka
mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya.
3. Pengujian atas Transaksi (Tests of Transaction)
Pengujian transaksi yang termasuk adalah pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna dalam pengujian ini dan auditor dapat menggunakan software audit yang umum untuk mengecek apakah pembayaran bunga dari bank telah dikalkulasi secara tepat.
4. Pengujian atas keseimbangan atau hasil keseluruhan (Tests of Balances or Overall Results)
Auditor melakukan pengujian ini agar bukti penting dalam penilaian akhir kehilangan atau pencatatan yang keliru yang menyebabkan fungsi sistem informasi gagal dalam memelihara data secara keseluruhan dan mencapai sistem yang efektif dan efisien. Dengan kata lain, dalam tahap ini mementingkan pengamanan asset dan integritas data yang obyektif. 5. Penyelesaian Audit (Completion of The Audit)
Tahap terakhir ini, auditor eksternal melakukan beberapa pengujian tambahan untuk mengkoleksi bukti untuk ditutup, dengan memberikan beberapa pernyataan pendapat.
2.4.7 Penetapan Penilaian Resiko
Menurut Maiwald (2003, p 150), level atau tingkatan dari resiko digolongkan sebagai berikut :
a. Resiko Kecil (low)
Tingkat kerentanan dari suatu sistem yang dapat berakibat kecil bagi perusahaan, biasanya resiko ini jarang terjadi atau muncul.
Tindakan yang dapat menghilangkan resiko ini perlu diambil jika mungkin, tetapi biaya yang dikeluarkan harus sebanding dengan pengurangan akibat dari resiko ini.
b. Resiko Sedang (medium)
Tingkat kerentanan dari suatu sistem yang dapat mengancam kerahasiaan, integritas, ketersediaan, dan atau kehandalan dari sistem informasi di suatu perusahaan, ataupun asset perusahaan yang bersifat fisik. Dimana adanya kemungkinan bahwa resiko ini akan muncul sewaktu – waktu.
Tindakan untuk menghilangkan resiko ini sangat disarankan. c. Resiko tinggi (high)
Tingkat kerentanan yang dapat mengakibatkan bahaya yang tinggi bagi kerahasiaan, integritas, ketersediaan, dan atau kehandalan dari sistem informasi di suatu perusahaan, ataupun asset perusahaan yang bersifat fisik.
Tindakan untuk menanggulangi resiko ini harus sesegera mungkin diambil.
Menurut Gondodiyoto (2007, p 559 - 562), penetapan penilaian resiko dan pengendalian :
Æ Matrik Penilaian Resiko
Matrik penilian resiko adalah metode analisis dengan menghitung aspek tingkat resiko (dampak) dan tingkat kejadian resiko tersebut dengan nilai L Low nilai - 1, M Medium nilai - 2 dan H High diberi nilai – 3
Teknik perhitungan nilai resiko menggunakan rasio antara dampak dengan kejadian :
a. Resiko Kecil (low) nilainya berkisar - 1 dan - 2 , seperti :
• Jika dampak low – 1 dan kejadian low - 1, maka nilai resiko adalah - 1. Artinya nilai resiko dari dampak dan kejadian adalah kecil. • Jika dampak low - 1 dan kejadian medium - 2 maka nilai resiko
adalah - 2. Artinya nilai resiko dari dampak dan kejadian adalah kecil.
• Jika dampak medium - 2 dan kejadian low - 1 maka nilai resiko adalah - 2. Artinya nilai resiko dari dampak dan kejadian adalah kecil.
b. Resiko Sedang (medium) nilainya berkisar - 3 dan - 4, seperti :
• Jika dampak low - 1 dan kejadian high - 3, maka nilai resiko adalah - 3. Artinya nilai resiko dari dampak dan kejadian adalah sedang. • Jika dampak medium - 2 dan kejadian medium - 2 maka nilai resiko
adalah - 4. Artinya nilai resiko dari dampak dan kejadian adalah sedang.
• Resiko Jika dampak high - 3 dan kejadian low - 1 maka nilai resiko adalah - 3. Artinya nilai resiko dari dampak dan kejadian adalah sedang.
c. Resiko tinggi (high ) nilainya antara - 5 dan - 9 seperti :
• Jika dampak medium - 2 dan kejadian high - 3, maka nilai resiko adalah - 6. Artinya nilai resiko dari dampak dan kejadian adalah tinggi.
• Jika dampak high - 3 dan kejadian medium - 2 maka nilai resiko adalah - 6. Artinya nilai resiko dari dampak dan kejadian adalah tinggi.
• Jika dampak high - 3 dan kejadian high - 3 maka nilai resiko adalah - 9. Artinya nilai resiko dari dampak dan kejadian adalah tinggi.