Suatu sistem informasi (IS) audit atau teknologi informasi (TI) audit merupakan pemeriksaan kontrol dalam infrastruktur teknologi suatu entitas Informasi. Review ini dapat dilakukan bersamaan dengan audit laporan keuangan, audit internal, atau bentuk lain dari keterlibatan atestasi. Ini adalah proses pengumpulan dan penilaian bukti sistem informasi organisasi, praktik, dan operasi. evaluasi bukti yang diperoleh dapat memastikan apakah sistem informasi organisasi menjaga aset, memelihara integritas data, dan beroperasi secara efektif dan efisien untuk mencapai tujuan organisasi atau tujuan.
Sebuah IS audit tidak sepenuhnya mirip dengan audit laporan keuangan. Sebuah evaluasi pengendalian internal mungkin atau mungkin tidak berlangsung dalam suatu IS audit. Ketergantungan pada pengendalian internal merupakan karakteristik unik dari audit keuangan. Sebuah evaluasi pengendalian internal diperlukan dalam audit keuangan, untuk memungkinkan auditor untuk menempatkan kepercayaan pada pengendalian internal, dan oleh karena itu, secara substansial mengurangi jumlah pengujian yang diperlukan untuk membentuk opini atas laporan keuangan perusahaan. Sebuah IS audit, di sisi lain, cenderung untuk memfokuskan pada menentukan risiko yang relevan dengan aset informasi, dan dalam menilai kontrol dalam rangka mengurangi atau mengurangi risiko ini. Suatu audit TI dapat mengambil bentuk "pemeriksaan pengendalian umum" atau "meninjau pengendalian khusus". Mengenai perlindungan aset informasi, salah satu tujuan dari IS audit adalah untuk meninjau dan mengevaluasi ketersediaan sistem informasi organisasi kerahasiaan, dan integritas dengan menjawab pertanyaan-pertanyaan berikut:
1. 1. Akan sistem komputerisasi organisasi akan tersedia untuk bisnis di sepanjang waktu bila diperlukan? (Availability) (Ketersediaan)
2. Apakah informasi dalam sistem hanya dapat diungkapkan kepada pengguna resmi? (Confidentiality) (Kerahasiaan)
3.Apakah informasi yang disediakan oleh sistem selalu akurat, handal, dan tepat waktu? (Integrity). (Integritas).
Kinerja IS Audit mencakup beberapa aspek fungsi keuangan dan organisasi klien kami. Diagram ke kanan memberi Anda gambaran aliran Audit Sistem Informasi: Dari Laporan Keuangan terhadap Lingkungan Pengendalian dan Sistem Informasi Platform
Audit Sistem Informasi Metodologi
TAHAP 1: Perencanaan Audit
Pada tahap ini merencanakan cakupan sistem informasi untuk memenuhi tujuan audit yang ditetapkan oleh Nasabah dan memastikan kepatuhan terhadap semua Hukum dan Standar Profesional. Hal pertama adalah untuk mendapatkan Piagam Audit dari Nasabah rincian tujuan audit, manajemen tanggung jawab, wewenang dan akuntabilitas dari fungsi Sistem Informasi Audit sebagai berikut:
1. Tanggung Jawab: Piagam Audit harus mendefinisikan misi, tujuan, sasaran dan tujuan Audit Sistem Informasi; Pada tahap ini kita juga menentukan Key Performance Indikator dan proses Audit Evaluasi;
2. Authority: Piagam Audit harus secara jelas menentukan Otorita ditugaskan kepada Auditor Sistem Informasi dengan hubungan dengan pekerjaan Penilaian Risiko yang akan dilakukan, hak untuk mengakses informasi Klien, lingkup dan / atau keterbatasan ruang lingkup, fungsi Klien untuk diaudit dan harapan auditi, dan
3. Akuntabilitas: Piagam Audit harus secara jelas mendefinisikan garis pelaporan, penilaian, penilaian kepatuhan dan tindakan yang telah disepakati.
Piagam Audit harus disetujui dan disepakati oleh tingkat yang sesuai dalam Organisasi Klien.
Selain Piagam Audit, kita harus dapat memperoleh representasi tertulis ("Surat Representasi") dari Manajemen Klien mengakui:
1. tanggung jawab untuk desain dan implementasi Sistem Pengendalian Internal yang mempengaruhi IT Sistem dan proses
2. kesediaan mereka untuk mengungkapkan ke Auditor Sistem Informasi pengetahuan mereka tentang penyimpangan dan / atau tindakan ilegal yang mempengaruhi organisasi mereka yang berkaitan dengan manajemen dan karyawan dengan peran yang signifikan dalam departemen audit internal.
3. kesediaan mereka untuk mengungkapkan kepada IS Auditor hasil dari setiap penilaian risiko bahwa salah saji material mungkin telah terjadi
TAHAP 2 - Penilaian Risiko dan Analisis Proses Bisnis
Risiko adalah kemungkinan suatu tindakan atau peristiwa yang terjadi yang akan memiliki efek buruk pada organisasi dan sistem informasi perusahaan. Risiko juga dapat menjadi potensi ancaman yang diberikan akan mengeksploitasi kerentanan aset atau kelompok aktiva yang menyebabkan hilangnya, atau kerusakan, aset. Hal ini biasanya diukur oleh kombinasi pengaruh dan kemungkinan terjadinya.
Semakin banyak organisasi sedang bergerak ke pendekatan audit berbasis risiko yang dapat disesuaikan untuk mengembangkan dan meningkatkan proses audit terus menerus. Pendekatan ini digunakan untuk menilai risiko dan untuk membantu sebuah IS auditor keputusan untuk melakukan keduanya pengujian kepatuhan atau pengujian substantif. Dalam pendekatan audit berbasis risiko, IS auditor tidak hanya mengandalkan risiko. Mereka juga mengandalkan pengendalian internal dan operasional serta pengetahuan organisasi. Jenis keputusan penilaian risiko dapat membantu berhubungan biaya / analisis manfaat kontrol terhadap risiko yang diketahui, yang memungkinkan pilihan praktis.
Proses mengukur risiko disebut Risk Assessment. Penilaian Risiko berguna dalam membuat keputusan seperti:
1. Daerah / fungsi bisnis yang akan diaudit
2. Sifat, luas dan waktu prosedur audit
3. Jumlah sumber daya yang dialokasikan untuk audit
Jenis berikut risiko harus dipertimbangkan:
Inherent Risk : Inherent Risk: risiko Inheren adalah kerentanan area audit kesalahan yang mungkin material, secara individual atau dalam kombinasi dengan kesalahan lain, dengan asumsi bahwa tidak ada pengendalian internal yang berhubungan. Dalam menilai risiko yang melekat, IS auditor harus mempertimbangkan baik meresap dan rinci IS kontrol. Hal ini tidak berlaku untuk keadaan dimana IS tugas auditor berkaitan dengan menyebar IS kontrol saja. Sebuah meresap IS Control adalah kontrol umum yang dirancang untuk mengelola dan memantau IS lingkungan dan yang karenanya mempengaruhi semua kegiatan-IS terkait. Beberapa Kontrol yang meresap IS auditor dapat dipertimbangkan termasuk:
* Integritas manajemen dan IS IS pengalaman manajemen dan pengetahuan
* Perubahan IS manajemen
* ) Tekanan pada IS manajemen yang mungkin mempengaruhi mereka untuk menyembunyikan atau salah mengutarakan informasi (misalnya proyek bisnis-kritis besar over-berjalan, dan aktivitas hacker)
* Sifat dari bisnis organisasi dan sistem (misalnya, rencana untuk perdagangan elektronik, kompleksitas sistem, dan kurangnya sistem terpadu)
* Faktor-faktor yang mempengaruhi industri organisasi secara keseluruhan (misalnya, perubahan teknologi, dan IS ketersediaan staf)
* Tingkat pengaruh pihak ketiga atas kontrol dari sistem yang diaudit (misalnya, karena integrasi rantai pasokan, outsourcing IS proses, usaha bisnis bersama, dan akses langsung oleh pelanggan)
* Temuan dari dan tanggal audit sebelumnya
Sebuah rinci IS kontrol adalah kontrol atas akuisisi, pengiriman pelaksanaan, dan dukungan dari IS sistem dan layanan. IS auditor harus mempertimbangkan, ke tingkat yang sesuai untuk area audit pertanyaan:
*temuan dan tanggal audit sebelumnya di daerah ini
* Kompleksitas dari sistem yang terlibat
* Tingkat intervensi manual yang diperlukan
* Kerentanan terhadap kerugian atau penyalahgunaan atas aset yang dikendalikan oleh sistem (misalnya, inventaris, dan penggajian)
* Kemungkinan puncak kegiatan pada waktu tertentu dalam periode audit
* Kegiatan di luar rutinitas sehari-hari IS pengolahan (misalnya, penggunaan utilitas sistem operasi untuk mengubah data)
* Integritas, pengalaman dan keterampilan manajemen dan staf yang terlibat dalam menerapkan kontrol IS
Pengendalian Risiko: Pengendalian risiko adalah risiko bahwa suatu kesalahan yang dapat terjadi di daerah audit, dan yang mungkin material, secara individual atau dalam kombinasi dengan kesalahan lain, tidak akan dicegah atau dideteksi dan diperbaiki secara tepat waktu oleh sistem pengendalian internal . Sebagai contoh, risiko pengendalian yang berhubungan dengan review manual log komputer bisa tinggi karena kegiatan memerlukan penyelidikan yang sering mudah terlewatkan karena volume informasi login. The pengendalian risiko yang berkaitan dengan prosedur validasi data komputerisasi ini biasanya rendah karena proses ini diterapkan secara konsisten. IS auditor harus menilai risiko pengendalian tinggi kecuali pengendalian internal yang relevan adalah:
* Diidentifikasi
* evaluasi yang efektif
* Diuji dan terbukti beroperasi tepat
Deteksi Risiko: risiko Deteksi adalah risiko bahwa IS substantif prosedur's auditor tidak akan mendeteksi kesalahan yang mungkin material, secara individual atau dalam kombinasi dengan kesalahan lainnya. Dalam menentukan tingkat pengujian substantif yang dibutuhkan, IS auditor harus mempertimbangkan keduanya:
* Penilaian risiko yang melekat
* testing Kesimpulan dicapai pada risiko kontrol berikut pengujian kepatuhan
Semakin tinggi penilaian risiko bawaan dan risiko pengendalian bukti audit lebih IS auditor biasanya harus diperoleh dari pelaksanaan prosedur audit substantif.
Penggunaan Teknik Audit Berbantuan Komputer (CAATS) dalam pelaksanaan IS Audit
Sistem Informasi Standar Audit mengharuskan kita bahwa selama audit, IS auditor harus memperoleh bukti yang cukup, dapat diandalkan dan relevan untuk mencapai tujuan audit. temuan audit dan kesimpulan harus didukung oleh analisis yang tepat dan interpretasi dari bukti ini. CAATs berguna dalam mencapai tujuan ini.
Teknik Audit Berbantuan Komputer (CAATs) adalah alat penting bagi auditor dalam melaksanakan audits.They meliputi berbagai jenis alat dan teknik, seperti perangkat lunak audit umum, software utilitas, data uji, aplikasi perangkat lunak pelacakan dan pemetaan, dan sistem audit ahli. Bagi kami, CAATs kami meliputi ACL Software Analisis Data dan Sistem Informasi Audit Toolkit (ISAT).
CAATs dapat digunakan dalam melakukan berbagai prosedur audit termasuk:
* Pengujian rincian transaksi dan saldo (Tes Substantif)
* Meninjau prosedur analitis
* Uji Kepatuhan IS kontrol umum
* Uji Kepatuhan IS pengendalian aplikasi
CAATs dapat menghasilkan sebagian besar bukti audit yang dikembangkan pada IS audit dan, sebagai hasilnya, IS auditor harus hati-hati merencanakan dan pameran perawatan profesional karena dalam penggunaan CAATs.The langkah-langkah utama yang harus dilakukan oleh auditor dalam penyusunan untuk penerapan CAATs dipilih adalah:
* Menetapkan tujuan audit dari CAATs
* Tentukan aksesibilitas dan ketersediaan organisasi IS fasilitas, program / sistem dan data
* Tentukan prosedur yang harus dilakukan (misalnya, sampling statistik, perhitungan tersebut, konfirmasi, dll)
* Menentukan persyaratan output
* Menentukan kebutuhan sumber daya, yaitu, personil, CAATs, lingkungan pemrosesan (organisasi IS fasilitas atau audit IS fasilitas)
* Mendapatkan akses kepada klien IS fasilitas, program / sistem, dan data, termasuk definisi file
* CAATs dokumen yang akan digunakan, termasuk tujuan, diagram alur tingkat tinggi, dan menjalankan instruksi
* Membuat pengaturan sesuai dengan Auditee dan memastikan bahwa:
1. File data, seperti file transaksi rinci yang disimpan dan tersedia sebelum dimulainya audit.
2. Anda telah memperoleh hak yang cukup untuk klien IS fasilitas, program / sistem, dan data
3. Pengujian telah benar dijadwalkan untuk meminimalkan efek pada lingkungan produksi organisasi.
4. Efeknya bahwa perubahan program produksi / sistem sudah benar .
software
GAS (generalized audit software )
merupalan CAATT yang paling banyak di gunakan untuk mengaudit sistem informasi. GAS memungkinkan Auditor untuk mengakses file data berkode elektronik dan melakukan berbagai operasi. banyak perusahaan akuntan publik mengembangkan banyak versi GAS, aktivitas yang dapat di laukan GAS.
1. membuat catatan kaki dan menyeimbangkan semua file atau item-item tertentu
2. menyeleksi dan melaporkan rincian data yang terdapat dalam file-file
3. menyeleksi sampel-sampel statistik dengan stratifikasi dari file-file data.
4. membuat format hasil tes ke dalam laporan
5. mencetak konfirmasi dengan bentuk standar dan catatan khusus
6. menyeleksi data secara selsktif memasukkan atau mengeluarkan item-item data
7. membandingkan 2 file untuk mengidentifikasi perbedaanya
8. menghitung kembali field data.
sifat audit :
audit merupakan sebuah proses sistematis yang secara objektif mendapatkan dan mengevaluasi bukti - bukti yang berkenaan dengan tindakan - tindakan dan peristiwa ekonomi untuk memastikan tingkat korespondensi di antara pernyataan tersebut :
Proses sistematis = Melakukan sebuah audit merupakan proses yang sistematis dan logis yang dapat di terapkan pada semua bentuk sistem informasi
untuk menentukan apakah laporan keuangan di sajikan secara wajar atau tidak wajar, maka auditor menetapkan tujuan auditing dan dapat di kelompokkan menjadi 5 kategori umum :
-) KEBERADAAN ATAU PERISTIWA
-) KELENGKAPAN
-) HAK DAN KEWAJIBAN
-) PENILAIAN ATAU ALOKASI
-) PENYAJIAN DAN PENGUNGKAPAN
Jumat, 29 Oktober 2010
Audit Sistem Informasi Berbasis komputer
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar