BAB 2 TEKNOLOGI AUDIT

2.7 Penilaian Kontrol dan Risiko TI

Salah satu masalah yang dialami auditor non-TI adalah mencoba menentukan kapan dan bagaimana menguji kontrol dan risiko TI. Selama beberapa dekade, auditor telah mengaudit "sekitar kotak", memuaskan diri mereka sendiri bahwa kontrol di kedua ujung aplikasi komputer berfungsi dan dengan asumsi bahwa kontrol aplikasi memadai. Satu- satunya auditor yang bahkan berani melihat kontrol aplikasi adalah auditor TI; Namun, dunia audit telah berubah secara signifikan dalam beberapa tahun terakhir.

Risiko TI dan bisnis tidak lagi dianggap sebagai entitas yang terpisah. Auditor didorong untuk mempertimbangkan risiko TI sebagai risiko bisnis dan mengembangkan pendekatan audit yang lebih terintegrasi. Model COSO untuk komponen penilaian risiko kontrol teknologi memeriksa risiko di seluruh entitas. Ini mendukung integrasi TI dan risiko bisnis, dan mendorong auditor untuk mengidentifikasi kontrol TI yang beroperasi di area/fungsi bisnis berisiko tinggi. Lebih lanjut, SOX menekankan persyaratan bagi semua auditor untuk memahami risiko dan kontrol terkait bisnis dan TI sehubungan dengan pelaporan keuangan.

Meskipun pengendalian dan proses umum TI tidak berdampak langsung pada laporan keuangan, kekurangan dalam pengendalian ini dapat mengakibatkan salah saji material. O leh karena itu, di bawah SOX, kontrol bisnis dan TI terkait merupakan komponen penting dari jaminan bahwa laporan keuangan dan pengungkapan akurat dan tepat waktu.

Bagian SOX 404 mengharuskan CEO dan CFO untuk melaporkan setiap tahun tentang efektivitas pengendalian internal atas pelaporan keuangan. Sebagian besar biaya kepatuhan Bagian 404 SOX terkait dengan penilaian kontrol TI atas perlindungan data dan program dari perubahan yang tidak sah. Hal ini membuat auditor menyadari bahwa, dengan menjamurnya sistem aplikasi yang mendukung semua aspek bisnis, auditor membutuhkan lebih banyak kemahiran dalam menentukan kontrol TI mana yang perlu dipertimbangkan. Auditor harus memiliki metodologi yang baik untuk membantu mereka menentukan ruang lingkup risiko TI yang harus dipertimbangkan, serta aktivitas pengendalian terkait yang diperlukan untuk menguranginya. Tanpa alasan untuk mengevaluasi kemungkinan risiko TI, ada kemungkinan peningkatan bahwa tingkat pengujian kontrol akan terlalu sedikit atau terlalu banyak.

Lalu bagaimana auditor menentukan kontrol dan risiko TI yang relevan dan apakah pengujian tersebut terlalu banyak atau terlalu sedikit? Auditor dapat mencari panduan di beberapa publikasi dari IIA. Secara khusus, mereka harus mengingat pentingnya mempertimbangkan aplikasi dan kontrol komputer secara umum. Panduan IIA tentang pengendalian teknologi informasi menyatakan bahwa tujuan pengendalian aplikasi adalah untuk memastikan (1) bahwa data akurat, lengkap, resmi, dan benar; (2) disimpan dan diproses dengan benar; dan (3) bahwa semua keluaran (seperti laporan keuangan) akurat dan lengkap. Kontrol aplikasi memelihara catatan yang melacak data, dari input dan penyimpanan, melalui pemrosesan dan output (IIA—GTAG 1, Kontrol Teknologi Informasi [2005]). Kontrol aplikasi termasuk kontrol input, kontrol pemrosesan, kontrol output, kontrol integritas, dan jejak audit.

Selain itu, auditor harus mempertimbangkan pengendalian umum teknologi informasi (ITGC), yang berlaku untuk semua komponen sistem, proses, dan data. ITGC mencakup kontrol atas akses pengguna, siklus hidup pengembangan sistem, manajemen perubahan dan konfigurasi, kontrol keamanan fisik, serta pencadangan dan pemulihan sistem dan data (IIA GTAG 8, Kontrol Aplikasi Audit [2007]). Aplikasi dan kontrol umum membentuk sebagian besar dari kontrol bisnis secara keseluruhan, dan oleh karena itu auditor harus memahami proses bisnis dan aplikasi dan kontrol TI untuk mengidentifikasi kontrol utama di mana kelemahan atau kekurangan dapat mengakibatkan laporan keuangan material. kesalahan.

PCAOB telah memberikan panduan tambahan dalam bentuk Auditing Standard 5 (AS5). Standar ini mendorong auditor untuk menggunakan pendekatan top-down, berbasis risiko dan untuk memfokuskan upaya kepatuhan mereka pada area yang menghadirkan risiko penipuan terbesar. Selanjutnya, Auditing Standard 2 (AS2) mendorong auditor untuk memulai dengan mengevaluasi dan memahami pengendalian tingkat entitas, seperti tata kelola, standar, kebijakan, dan prosedur, dan untuk mengidentifikasi akun, lokasi, dan asersi yang signifikan. Langkah selanjutnya dalam pendekatan top-down adalah menentukan proses bisnis mana yang dapat memengaruhi area signifikan ini dan untuk mengidentifikasi titik di mana salah saji material atau penipuan dapat terjadi. Ini akan membantu auditor dalam berfokus pada aplikasi utama dan pengendalian umum daripada menilai semua sistem dan pengendaliannya.

Sumber arahan penting lainnya adalah panduan IIA untuk penilaian risiko dan Kontrol TI (IIA, Panduan untuk Penilaian Risiko TI [GAIT] [2007]). Meskipun GAIT bukan merupakan kerangka kerja pengendalian, GAIT memberikan panduan bagi auditor tentang cakupan

pengendalian umum TI, membantu mereka dalam menentukan apa yang harus disertakan ketika mereka harus memberikan jaminan bahwa pengendalian internal atas pelaporan keuangan sudah memadai. GAIT menyediakan pendekatan berbasis prinsip untuk memeriksa risiko dan kontrol TI yang memudahkan auditor non-TI untuk memahami bagaimana proses bisnis dan bagaimana sistem TI terkait dapat memengaruhi keakuratan dan ketepatan waktu pelaporan keuangan. Menurut GAIT, semakin besar potensi dampak, semakin auditor perlu memasukkan sistem TI dalam lingkup pekerjaan yang dilakukan untuk mengesahkan laporan keuangan. Sebagai contoh, auditor harus memasukkan kontrol atas operasi yang tepat dari aplikasi TI dan perlindungan data dan program aplikasi dari perubahan sistem yang tidak sah, terutama jika keluaran sistem TI merupakan input material ke dalam proses pelaporan keuangan.

Pendekatan berbasis prinsip mendorong auditor untuk memeriksa risiko dan kontrol TI dari perspektif top-down, dimulai dengan mempertimbangkan proses bisnis mana yang harus disertakan. Dengan mengidentifikasi proses bisnis dengan risiko tertinggi yang berdampak pada laporan keuangan, auditor dapat memfokuskan upaya mereka untuk mengidentifikasi kontrol utama dan jumlah pengujian yang diperlukan untuk memberikan jaminan mengenai keakuratan, kelengkapan, dan keberadaan transaksi. Kontrol kunci adalah kontrol yang, jika gagal, memiliki setidaknya kemungkinan yang wajar bahwa kesalahan material akan terjadi dalam laporan keuangan (IIA-SOX Bagian 404 [2008]).

GAIT juga mendorong auditor untuk memeriksa berbagai jenis kontrol—pencegahan, detektif, dan korektif—dan sejauh mana kontrol ini dilakukan secara otomatis atau manual.

Tingkat kepastian yang lebih tinggi dapat dikaitkan dengan kontrol detektif otomatis jika mereka bekerja dengan benar.

Mendefinisikan Ruang Lingkup

Auditor harus menentukan kontrol utama yang harus disertakan dalam penilaian mereka. Ada dua pendekatan utama untuk mendefinisikan ruang lingkup pengendalian.

Yang pertama konsisten dengan pendekatan top-down dan dimulai dengan identifikasi akun GL kunci yang membentuk setiap baris dalam laporan keuangan. Auditor harus menilai setiap akun dan menentukan apakah itu signifikan. Untuk akun yang signifikan, penting untuk mengidentifikasi proses bisnis yang menghasilkan transaksi dan untuk menentukan sistem informasi yang mendasarinya. Kontrol kunci yang akan dinilai adalah kontrol yang menangani integritas transaksi kunci (IIA—SOX Bagian 404 [2008]).

Pendekatan kedua untuk menentukan pengendalian utama yang harus dipertimbangkan dimulai dengan mengidentifikasi asersi laporan keuangan. AS5 mensyaratkan bahwa asersi yang relevan harus dinilai. Pernyataan yang disarankan oleh AS5 meliputi:

• Keberadaan. Verifikasi bahwa aset atau kewajiban ada dan transaksi terjadi selama periode waktu pelaporan.

• Kelengkapan. Semua transaksi dan akun dimasukkan dalam laporan keuangan.

• Validasi. Jumlah yang tepat telah digunakan.

• Hak dan kewajiban. Verifikasi mereka ada dan untuk periode yang tepat.

• Pengungkapan. Laporan keuangan diklasifikasikan, dijelaskan, dan diungkapkan dengan benar.

Satu pendekatan untuk mengidentifikasi pengendalian utama yang relevan dengan asersi ini dimulai dengan mendaftar semua risiko yang dapat mencegah asersi terpenuhi dan mengidentifikasi pengendalian yang menangani risiko. Pendekatan kedua mengidentifikasi transaksi material yang mempengaruhi asersi dan mengidentifikasi kontrol yang sesuai atas transaksi ini. Dalam kedua kasus, dengan menentukan asersi yang relevan, auditor dapat mengidentifikasi akun terkait dan kontrol kunci yang sesuai. Ini mendukung auditor dalam menentukan ruang lingkup—transaksi material bersama dengan proses bisnis dan kontrol otomatis dan manual—yang akan dinilai (IIA—SOX Bagian 404 [2008]).

Prinsip GAIT

GAIT adalah pendekatan berbasis prinsip dan sangat terkait dengan bagian terkait TI dari tujuan pengendalian internal COSO. Empat prinsip mendefinisikan kumpulan aset TI (aplikasi dan proses bisnis yang bergantung pada aplikasi ini) dan transaksi yang memengaruhi aset tersebut. Mendefinisikan aset TI yang relevan membantu auditor menentukan ruang lingkup risiko TI, kontrol, dan proses yang harus dinilai untuk memberikan tingkat jaminan yang diperlukan.

Prinsip pertama adalah perluasan dari pendekatan berbasis risiko top-down yang dipromosikan di AS2. Secara khusus, auditor didorong untuk mempertimbangkan risiko yang terkait dengan pengendalian umum TI untuk akun yang dianggap signifikan. Penilaian risiko top-down harus digunakan untuk mengidentifikasi area yang paling rentan terhadap penipuan atau kesalahan keuangan, dan kemudian kontrol aplikasi yang relevan harus dievaluasi. Hal ini mengarah pada prinsip kedua, yang membahas proses pengendalian umum TI yang juga perlu diuji. Konsisten dengan Bagian 404, auditor diarahkan untuk menilai risiko dalam pengendalian umum TI tersebut di mana penurunan fungsi sistem aplikasi dapat mengakibatkan kesalahan material dalam laporan keuangan atau penipuan.

Prinsip ketiga membahas area di mana risiko pengendalian umum TI dapat terjadi.

GAIT mendorong pendekatan berlapis, memeriksa risiko dalam kode aplikasi, database, sistem operasi, dan jaringan. Namun, auditor juga harus menguji proses sistem, pemindaian jaringan, dan manajemen perubahan, operasi sistem, pencadangan dan pemulihan, perencanaan kapasitas, dan keamanan fisik. Namun, dalam melakukannya, GAIT mendorong auditor untuk mempertimbangkan kontrol secara keseluruhan, bukan kontrol individu (prinsip 4). Secara keseluruhan, kontrol dan proses umum TI harus mendukung proses bisnis dan, secara tidak langsung, berkontribusi pada laporan keuangan yang sehat.

Secara tradisional, auditor dapat mengabaikan sistem TI dan mengaudit "di sekitar kotak"; namun, integrasi, dan ketergantungan proses bisnis pada, TI berarti bahwa ini bukan lagi pilihan. GAIT membantu auditor dalam menentukan kapan waktu yang tepat (dan lebih disukai) untuk menangani kontrol dan proses TI secara langsung. Dengan pemahaman yang jelas tentang proses bisnis dan sistem TI terkait, auditor dapat menggunakan prinsip-prinsip GAIT dan pendekatan terstruktur untuk ruang lingkup di dalam atau di luar sistem aplikasi (aset TI). Untuk aplikasi yang tercakup dalam, metodologi dapat membantu auditor fokus pada proses transaksional TI tertentu yang perlu dinilai dan risiko dan kontrol utama. Auditor yang ingin mengetahui lebih banyak tentang penilaian kontrol dan risiko TI harus mengacu pada Panduan IIA untuk Penilaian Risiko TI (GAIT).