SiStem informaSi
            dan Pengendalian internal





            3.   Prosedur audit untuk mereviu sistem, terdiri dari:
                 a.  Inspeksi di lokasi tempat penyimpanan peralatan komputer;
                 b.  Reviu kemanan/perlindungan informasi dan rencana untuk mengatasi kerusakan sistem;
                 c.  Wawancara dengan personil sistem informasi mengenai prosedur kemanan;
                 d.  Reviu atas kebijakan dan prosedur akses fisik dan akses logis;
                 e.  Reviu kebijakan dan prosedur pencadangan dan pemulihan arsip;
                 f.  Reviu kebijakan dan prosedur penyimpanan dan transmisi data;
                 g.  Reviu kebijakan dan prosedur untuk meminimalisir kegagalan sistem;
                 h.  Reviu kontrak pemeliharaan dengan vendor;
                 i.  Memeriksa log/catatan akses sistem;
                 j.  Memeriksa kebijakan asuransi untuk menangani kerusakan besar dan gangguan aktivitas bisnis
                    utama.
            4.   Prosedur audit untuk menguji pengendalian, terdiri dari:
                 a.  Mengamati dan menguji prosedur akses ke lokasi tempat penyimpanan peralatan komputer;
                 b.  Mengamati penyiapan penyimpanan dan pencadangan data on-site maupun off-site;
                 c.  Menguji prosedur pemberian dan modifikasi atas user ID dan kata kunci;
                 d.  Menyelidiki bagaimana cara untuk mengatasi akses-akses yang tidak sah;
                 e.  Memverifikasi keluasan dan efektivitas enkripsi data;
                 f.  Memverifikasi keefektifan pengendalian transmisi data;
                               DOKUMEN
                 g.  Memverifikasi keefektifan penggunaan firewall dan prosedur perlindungan atas virus;
                 h.  Memverifikasi penggunaan pemeliharaan pencegahan dan penggunaan tenaga listrik cadangan/
                    UPS (uninterruptable power supply);
                 i.  Memverifikasi jumlah dan keterbatasan cakupan asuransi;
                 j.  Memeriksa hasil dari simulasi rencana pemulihan kerusakan data.
            5.   b.  Pengendalian pengguna yang efektif.IAI
                 Pengendalian pengganti yang mungkin ada antara lain:
                 a.  Kebijakan personil yang mendukung termasuk pemisahan tugas;


            7.2.2 Tujuan Audit 2: Pengembangan dan Akuisisi Program

            Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pengembangan dan akuisisi program
            terdiri dari:
            1.   Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam mengevaluasi tujuan
                 audit ini antara lain:
                 a.  Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak sah.

            2.   Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
                 a.  Mereviu persetujuan lisensi piranti lunak;
                 b.  Pengelolaan otorisasi pengembangan program dan perolehan piranti lunak;
                 c.  Pengelolaan dan persetujuan pengguna atas spesifikasi pemrograman;
                 d.  Pengujian secara menyeluruh atas program-program baru, termasuk melakukan user-acceptance test;
                 e.  Dokumentasi sistem yang lengkap, termasuk persetujuannya.
            3.   Prosedur audit untuk mereviu sistem, terdiri dari:
                 a.  Reviu independen atas proses pengembangan sistem;
                 b.  Reviu kebijakan dan prosedur pengembangan/perolehan sistem;
                 c.  Reviu kebijakan dan prosedur otorisasi sistem dan persetujuan;
                 d.  Reviu standar evaluasi pemrograman;







     64      Ikatan Akuntan Indonesia