Control Objectives Control Method / Procedures / Countermeasures
The preparation of PIN numbers should be rigidly controlled and secured
1. Never print PIN numbers on terminals &
reports.
2. Make PINs available to only the customer and selected and identified bank security or data processing personnel.
3. Store PINs in an encrypted form.
4. Perform the PIN number preparation on the computer under dual control.
5. Use PIN mailers that are secured so that they do not reveal the printed PIN number.
6. Dan seterusnya.
Detail control objective Card Center (2)
Control Objectives Control Method / Procedures / Countermeasures
Ensure that the generation of PINs is done in a secure
environment and in a secure
manner
1. Execute the generation of the actual PIN generation program under dual control 2. Schedule the execution of the PIN
generation program randomly. The
scheduled generation should be done only upon request and approval of authorized ATM and EFT personnel
3. Secure the documentation of the PIN algorithm and limit access to it.
Kategori Control: Preventive
• Preventive:
– detect problem before they arise – pemantauan operasi dan input
– melakukan prediksi atas problem yang mungkin terjadi – mencegah error dan tindakan kejahatan
• Misalnya:
– pemisahan pekerjaan
– ada prosedur yang tepat untuk proses otorisasi
– menyediakan dokumen yang dirancang tepat bagi karyawan
Kategori Control: Detective
Detective :
Menggunakan kontrol untuk mendeteksi bahwa error, perubahan atau tindakan kejahatan (malicious) yang sudah terjadi, serta melaporkannya
Misalnya :
• Hash
• Kalkulasi ulang
• Internal audit
• Laporan kinerja sistem
• Check points dalam rantai produksi
Kategori Control: Corrective
Corrective:
• Meminimalisir dampak ancaman
• Mengidentifikasi sumber dari masalah
• Memperbaiki error dari sebuah masalah
• Mengubah sistem agar dapat meminimkan jumlah ancaman di masa depan
Misalnya:
• Contingency planning
• Backup
• Re-run
Definisi Audit
“Systematic process by which a competent, independent person objectively obtains and evaluates evidence regarding assertions
about an economic entity or event for the purpose of forming an opinion about and reporting on the degree to which the
assertion conforms to an identified set of
standards.”
General audit procedures
• Understanding of the audit area/subject
• Risk assessment and general audit plan
• Detailed audit planning
• Preliminary review of audit area/subject
• Evaluating audit area/subject
• Compliance testing
• Substantive testing
• Reporting(communicating results)
• Follow-up
Klasifikasi Audit
Kategori audit berdasarkan tujuannya :
1. Financial audit : mengetahui kebenaran dari laporan keuangan perusahaan
2. Operational audit : mengetahui ada/tidaknya, berfungsi/tidaknya interal controls dalam kegiatan operasi perusahaan
3. Administrative audit : mengetahui efisiensi produktifitas operasional dari sebuah perusahaan.
4. IS audit
5. Forensic audits: untuk menemukan atau menindaklanjuti suatu kejahatan
6. Specialized audit: misalnya dalam rangka SAS 70 (AICPA) dan atau SOX, melakukan audit terhadap internal controls
Tujuan Audit
Tujuan audit bisa sangat beraneka ragam, dan sangat tergantung keinginan manajemen atau peraturan yang mengharuskan audit.
Misalnya :
• Evaluasi terhadap internal controls
• Security audit
• Software Quality Assurance audit
No. Audit phase Penjelasan
1. Audit subject Menentukan apa yang akan diaudit
2. Audit objective Menentukan tujuan dari audit.
Misalnya: ―menentukan apakah source code dapat diubah-ubah dalam data center yang dianggap secure‖
No. Audit phase Penjelasan 3. Audit scope (ruang
lingkup)
Menentukan sistem, fungsi dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit. Misalnya:
―hanya melihat source code dari aplikasi Internet banking saja‖.
4. Preaudit planning Mengidentifikasi sumber daya dan SDM yang dibutuhkan.
Menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit.
Menentukan lokasi audit.
No. Audit phase Penjelasan 5. Audit procedures &
steps for data gathering
Menentukan cara melakukan audit untuk memeriksa dan menguji
kontrol.
Menentukan siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan
Spesifik pada tiap organisasi
No. Audit phase Penjelasan 7. Prosedur komunikasi
dengan pihak manajemen
Spesifik pada tiap organisasi
8. Audit report
preparationMenentukan bagaimana cara
mereview hasil audit
Evaluasi kesahihan dari dokumen- dokumen, prosedur, dan kebijakan dari orgnisasi yang diaudit
Jenis Audit Risk (1)
Inherent risk : resiko yang dari pada dasarnya memang sudah ada pada auditee, karena nature (sifat) dari bisnis yang bersangkutan.
Misalnya :
• Kalkulasi 10.000 posting lebih bisa error ketimbang kalkulas 10 posting
• Uang kas lebih mudah tercuri ketimbang mobil di inventory
Jenis Audit Risk (2)
Control risk : suatu resiko yang signifikan yang mungkin muncul tak terdeteksi atau tak
tercegah oleh kontrol internal.
Misalnya, di sebuah perusahaan besar,
pemantauan piutang aging dilakukan secara manual oleh seorang pengawas interen.
Control risk ini akan lebih kecil kalau menggunakan CAAT
Jenis Audit Risk (3)
Detection risk : resiko karena suatu
ancaman tidak dideteksi karena auditor
menggunakan teknik/prosedur yang kurang
memadai.
Testing (1)
Compliance Testing
• Yakni test untuk menguji apakah kontrol diterapkan sesuai kebijakan dan prosedur organsasi.
• Tujuan utamanya adalah untuk menguji apakah kontrol-kontrol bekerja seperti yang
diperkirakan dalam preliminary evaluation.
• Misalnya kontrol bahwa source code sama dengan executeables trakhir.
Testing (2)
Substantive Testing
• Menguji pengolahan sebenarnya.
• Substantive testing dapat dilakukan untuk mengecek apakah memang ada kesalahan
dalam laporan keuangan (yang digenerate oleh komputer) atau kesalahan-kesalahaan lainnya.
• Auditor bisa melakukan substantive testing dengan cara mengambil sampel data, dan mengolahnya. Lalu memeriksa apakah valid.
Testing (3)
Korelasinya : kalau compliance testing
menunjukkan banyak kesalahan, maka
substantive testing hanya sedikit perlu
dilakukan (vice versa).
Testing (4)
Cara memahami kontrol :
• Review system to identify controls
• Test compliance, apakah kontrol benar- benar bekerja
• Evaluasi kontrol, sebagai dasar perlu
tidaknya substantive test
Risk Based Audit Approach
Gather Information & Plan
Aturan pemerintah, inherent risk, laporan keuangan, latar blkg perusahaan
Understand the Internal Controls
Prosedur kendali, analisa detection risk, analisa control risk
Compliance Test
Test policies, test segregation of duties
Substantive Test
Test account balances, test transactions
Conclude the Audit Recommendations, reports
Evidence
Yakni informasi yang dipergunakan untuk menentukan apakah objek yang diaudit sesuai dengan kriteria atau control
objectives tertentu.
Contoh Evidence (1)
1. Hasil observasi / pengamatan auditor: harus non-obtrusive. Misalnya:
• pola kerja pegawai
• struktur organisasi (bisa dengan melihat dokumen & interview)
2. Catatan interview: auditor harus tahu teknik interview.
3. Hasil korespondensi organisasi.
Contoh Evidence (2)
4. Dokumen-dokumen internal organisasi :
• feasibility study docs.
• test plans & reports.
• requirement docs.
• operations manual.
• quality assurance report.
• risk management document.
• Logs.
5. Hasil pengujian auditor.
Evidence Reliability
• Keindependensian dari yang menyediakan bukti :
bukti dari luar organisasi sering lebih kuat, itulah sebabnya surat balasan bisa jadi dipergunakan untuk memeriksa account receivables.
• Kualifikasi orang yang memberikan bukti : Kalau
interview harus pada orang yang tepat. Jangan tanya soal firewall ke janitor! Tetapi kecakapan auditor-pun juga dapat.
• Objektifitas dari sebuah bukti. perhitungan uang tunai lebih objektif ketimbang opini auditor hanya
berdasarkan 1 orang responden yang diwawancarai mengenai perasaannya
Evidence
Auditor harus cari bukti-bukti yang relevan dan valid, sehingga bukti itu dapat
dianggap ‗competent‘.
Sampling (1)
Sampling dipergunakan kalau waktu dan biaya tidak memungkinkan untuk
memeriksa seluruh transaksi / kejadian dalam suatu populasi. Populasi adalah
seluruh item yang harus diperiksa. Subset dar populasi disebut dengan istilah sampel.
Sampling dipergunakan untuk
menginferensi karakteristik dari populasi.
Sampling (2)
Pendekatan utama terhadap sampling:
1. Statistical sampling : sampel ditentukan
secara objektif dengan kritera-kriteria yang khusus.
2. Non-statistical sampling : (judgemental sampling) menggunakan pertimbangan auditor dalam memilih sampel secar subjektif, sehingga cara ini sebenarnya mengandung resiko.
Sampling (3)
Jenis sampling lainnya :
1. Stop-or-go sampling: mencegah sampling yang terlalu banyak. Kalau terasa bahwa tidak akan ada error lagi (atau justru kebanyakan!) maka kegiatan audit boleh dihentikan.
2. Discovery sampling: metode sampling yang bisa dipergunakan untuk menemukan ―jarum dalam tumpukan jerami‖. Biasanya dipergunakan untuk mencari jejak korupsi, pemalsuan, penipuan dan tindakan melawan hukum lainnya.