SISTEM INFORMASI
                                                                                      DAN PENGENDALIAN INTERNAL





               2.   Mengidentifikasi prosedur pengendalian untuk mencegah, mendeteksi atau mengoreksi ancaman
                    tersebut. Ini terdiri dari semua pengendalian yang diterapkan oleh manajemen dan yang harus direviu
                    oleh auditor serta diuji, dalam rangka mengurangi ancaman.

               3.   Evaluasi atas prosedur pengendalian. Pengendalian dievaluasi dengan dua cara:
                    a.  Reviu sistem untuk menentukan apakah prosedur pengendalian sudah dijalankan.
                    b.  Uji pengendalian yang dilakukan untuk menentukan apakah pengendalian yang sudah ada berjalan
                       sebagaimana yang diinginkan.

               4.   Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya terhadap sifat, waktu atau
                    keluasan prosedur audit. Jika auditor menentukan bahwa risiko pengendalian terlalu tinggi karena
                    sistem pengendalian tidak memadai, auditor harus mendapatkan lebih banyak bukti, bukti audit yang
                    lebih baik, atau bukti audit yang tepat waktu. Kelemahan pengendalian di satu area dapat diterima jika
                    ada pengendalian pengganti (compensating control) di area lain.




               7.2  Merancang Suatu Rencana untuk Mengevaluasi Pengendalian Internal dalam Sistem Informasi


               Rancangan suatu rencana untuk mengevaluasi pengendalian internal dalam sistem informasi menggunakan
                               DOKUMEN
               pendekatan audit berbasis-risiko digunakan untuk mengevaluasi keenam tujuan audit sebagaimana
               dijelaskan sebelumnya. Kerangka audit untuk mengevaluasi pengendalian internal dalam sistem informasi
               dipaparkan sebagai berikut:


               7.2.1 Tujuan Audit 1: Keamanan secara Keseluruhan
                                                     IAI
               Kerangka audit berbasis-risiko untuk memenuhi tujuan audit ini adalah sebagai berikut:

               1.   Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam mengevaluasi tujuan
                    audit ini antara lain:
                    a.  Pencurian piranti keras atau kerusakan piranti keras yang disengaja maupun tidak disengaja;
                    b.  Kehilangan, pencurian, atau akses yang tidak sah terhadap program, data dan sumber-sumber
                       sistem lainnya.
                    c.  Kehilangan, pencurian atau pengungkapan yang tidak sah atas data yang sifatnya rahasia;
                    d.  Modifikasi yang tidak sah atau penggunaan program dan arsip data secara tidak sah;
                    e.  Gangguan atas aktivitas-aktivitas bisnis yang utama.

               2.   Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
                    a.  Rencana perlindungan atau pengamanan informasi;
                    b.  Pembatasan akses fisik terhadap peralatan komputer;
                    c.  Pembatasan akses logis terhadap sistem dengan menggunakan pengendalian otentikasi dan
                       otorisasi;
                    d.  Pengendalian atas penyimpanan data dan transmisi data;
                    e.  Prosedur perlindungan terhadap serangan virus;
                    f.  Prosedur pencadangan data dan pemulihan data;
                    g.  Rancangan sistem toleransi-kegagalan;
                    h.  Rencana untuk mengatasi kerusakan sistem;
                    i.  Pemeliharaan pencegahan;
                    j.  Firewall;
                    k.  Asuransi atas kerusakan besar dan ganggungan aktivitas bisnis yang utama.








                                                                                    Ikatan Akuntan Indonesia      63