Page 72 - Modul CA - Sistem Informasi dan Pengendalian Internal (Plus Soal)
P. 72
SISTEM INFORMASI
DAN PENGENDALIAN INTERNAL
2. Mengidentifikasi prosedur pengendalian untuk mencegah, mendeteksi atau mengoreksi ancaman
tersebut. Ini terdiri dari semua pengendalian yang diterapkan oleh manajemen dan yang harus direviu
oleh auditor serta diuji, dalam rangka mengurangi ancaman.
3. Evaluasi atas prosedur pengendalian. Pengendalian dievaluasi dengan dua cara:
a. Reviu sistem untuk menentukan apakah prosedur pengendalian sudah dijalankan.
b. Uji pengendalian yang dilakukan untuk menentukan apakah pengendalian yang sudah ada berjalan
sebagaimana yang diinginkan.
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya terhadap sifat, waktu atau
keluasan prosedur audit. Jika auditor menentukan bahwa risiko pengendalian terlalu tinggi karena
sistem pengendalian tidak memadai, auditor harus mendapatkan lebih banyak bukti, bukti audit yang
lebih baik, atau bukti audit yang tepat waktu. Kelemahan pengendalian di satu area dapat diterima jika
ada pengendalian pengganti (compensating control) di area lain.
7.2 Merancang Suatu Rencana untuk Mengevaluasi Pengendalian Internal dalam Sistem Informasi
Rancangan suatu rencana untuk mengevaluasi pengendalian internal dalam sistem informasi menggunakan
DOKUMEN
pendekatan audit berbasis-risiko digunakan untuk mengevaluasi keenam tujuan audit sebagaimana
dijelaskan sebelumnya. Kerangka audit untuk mengevaluasi pengendalian internal dalam sistem informasi
dipaparkan sebagai berikut:
7.2.1 Tujuan Audit 1: Keamanan secara Keseluruhan
IAI
Kerangka audit berbasis-risiko untuk memenuhi tujuan audit ini adalah sebagai berikut:
1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam mengevaluasi tujuan
audit ini antara lain:
a. Pencurian piranti keras atau kerusakan piranti keras yang disengaja maupun tidak disengaja;
b. Kehilangan, pencurian, atau akses yang tidak sah terhadap program, data dan sumber-sumber
sistem lainnya.
c. Kehilangan, pencurian atau pengungkapan yang tidak sah atas data yang sifatnya rahasia;
d. Modifikasi yang tidak sah atau penggunaan program dan arsip data secara tidak sah;
e. Gangguan atas aktivitas-aktivitas bisnis yang utama.
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
a. Rencana perlindungan atau pengamanan informasi;
b. Pembatasan akses fisik terhadap peralatan komputer;
c. Pembatasan akses logis terhadap sistem dengan menggunakan pengendalian otentikasi dan
otorisasi;
d. Pengendalian atas penyimpanan data dan transmisi data;
e. Prosedur perlindungan terhadap serangan virus;
f. Prosedur pencadangan data dan pemulihan data;
g. Rancangan sistem toleransi-kegagalan;
h. Rencana untuk mengatasi kerusakan sistem;
i. Pemeliharaan pencegahan;
j. Firewall;
k. Asuransi atas kerusakan besar dan ganggungan aktivitas bisnis yang utama.
Ikatan Akuntan Indonesia 63