Senin, 29 Juni 2015

Kerangka Teknologi Informasi ITAF

Kerangka Teknologi Informasi ITAF

Desain ITAF ini mengakui bahwa IS audit dan jaminan profesional dihadapkan dengan kebutuhan yang berbeda dan berbagai jenis audit dan jaminan tugas, mulai dari memimpin audit IS-difokuskan untuk berkontribusi terhadap audit keuangan atau operasional. ITAF berlaku untuk setiap audit yang resmi atau keterlibatan jaminan.

ITAF berlaku untuk individu yang bertindak dalam kapasitas IS audit dan jaminan profesional dan terlibat dalam memberikan jaminan atas beberapa komponen dari sistem IT, aplikasi dan infrastruktur. Namun, standar, pedoman dan IS audit dan jaminan prosedur yang dirancang dengan cara yang juga dapat berguna, dan memberikan manfaat bagi, khalayak yang lebih luas, termasuk pengguna dari IS audit dan jaminan laporan.
Penerapan kerangka kerja merupakan prasyarat untuk melakukan pekerjaan jaminan. Standar yang wajib sementara pedoman, alat dan teknik yang dirancang untuk memberikan bantuan non-wajib dalam melakukan pekerjaan jaminan dan detail tambahan untuk mendukung pemenuhan standar. Silahkan kunjungi www.isaca.org/standards untuk link ke file panduan individu terbaru.

VAL IT & RISK IT

Ruang lingkup kerangka Risiko TI juga sudah dibahas dalam lingkup COBIT 5 framework. Anda diundang untuk meninjau COBIT 5 kerangka pertama dan, jika lebih bimbingan risiko diperlukan, referensi publikasi Risiko TI untuk lebih detail.

Risiko TI menyediakan end-to-end, pandangan yang komprehensif dari semua risiko yang terkait dengan penggunaan IT dan pengobatan sama menyeluruh manajemen risiko, dari nada dan budaya di atas, untuk masalah operasional.

Risiko adalah bagian alami dari lanskap bisnis.
Jika dibiarkan unmanaged, ketidakpastian dapat menyebar seperti rumput liar.
Jika dikelola secara efektif, kerugian dapat dihindari dan manfaat yang diperoleh.

Dalam bisnis saat ini, risiko memainkan peran penting. Hampir setiap keputusan bisnis membutuhkan eksekutif dan manajer untuk menyeimbangkan risiko dan imbalan. Efektif mengelola risiko usaha sangat penting untuk keberhasilan suatu perusahaan.

Terlalu sering, risiko TI (resiko bisnis terkait dengan penggunaan IT) diabaikan. Risiko bisnis lainnya, seperti risiko pasar, risiko kredit dan risiko operasional telah lama dimasukkan ke dalam proses pengambilan keputusan perusahaan. Risiko TI telah diturunkan ke spesialis teknis di luar ruang rapat, meskipun jatuh di bawah sama 'payung' kategori risiko sebagai risiko bisnis lainnya: kegagalan untuk mencapai tujuan strategis

Risiko TI adalah kerangka kerja didasarkan pada seperangkat prinsip panduan untuk manajemen yang efektif dari risiko TI. Kerangka kerja COBIT melengkapi, kerangka kerja yang komprehensif untuk tata kelola dan kontrol berbasis bisnis, solusi dan layanan berbasis IT.

Sementara COBIT menyediakan satu set kontrol untuk mengurangi risiko TI, Risiko TI menyediakan kerangka kerja bagi perusahaan untuk mengidentifikasi, mengatur dan mengelola risiko TI. Sederhananya, COBIT menyediakan sarana pengelolaan risiko; Risiko TI memberikan ujung. Usaha yang telah mengadopsi (atau berencana untuk mengadopsi) COBIT sebagai kerangka kerja tata kelola TI mereka dapat menggunakan Risiko TI untuk meningkatkan manajemen risiko.

Kamis, 23 April 2015

Implementasi Cobit (Control Objectives for Information and Related Technology) Audit SIstem Informasi

Pengertian COBIT 
 
COBIT (Control Objectives for Information and Related Technology) adalah sebuah proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan sumber daya teknologi informasi (IT). Proses model ini difokuskan pada pengendalian terhadap masing-masing dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.

COBIT menciptakan sebuah jembatan antara manajemen TI dan para eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadapcorporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit.

Fokus utama dari COBIT ini adalah harapan bahwa melaui adopsi COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.


COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi 5.0.

COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.
Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
·  Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition & ImplementationDelivery & Support , dan Monitoring & Evaluation.
·  Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurancedan/atau saran perbaikan.
·  Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
v  Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
v  Apa saja indikator untuk suatu kinerja yang bagus.
v  Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors ).
v  Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
v  Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan. 
v  Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.

Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan manfaatnya adalah :
·  Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI.
·  Manajemen
v  Untuk mengambil keputusan investasi TI.
v  Untuk keseimbangan resiko dan kontrol investasi.
v  Untuk benchmark lingkungan TI sekarang dan masa depan.
·  Pengguna
Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.
·  Auditors
v  Untuk memperkuat opini untuk manajemen dalam control internal.
v  Untuk memberikan saran pada control minimum yang diperlukan.
COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized  (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).
Review
Intinya metode Cobit sangat penting dan perlu di terapkan dalam perusahaan agar penggunaan Teknologi Informasi (TI) sesuai dengan kebutuhan perusahaan dan menghasilkan kinerja yang efisien dan efektif serta mencegah atau meminimalisir adanya risiko terhadap penggunaan TI. Penggunaan dan pengelolaan TI juga mempertimbangkan integrasi dimana perangkat keras, perangkat lunak dan perangkat manusia membangun intergrasi. 

Selasa, 07 April 2015

Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi:
  1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
  2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
  3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
  4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
  5. Data sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
  6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
Gambar DD-2 melukiskan hubungan di antara keenam tujuan ini dengan komponen¬komponen sistem informasi. Setiap tujuan tersebut didiskusikan secara lebih terinci dalam bagian berikut.
Setiap deskripsi terdiri dari rencana untuk mencapai setiap tujuan di atas, dan juga teknik serta prosedur yang diperlukan untuk melaksanakan rencana audit tersebut.

Penjelasan Lebih Lanjut

PENJELASAN LEBIH LANJUT AUDIT SISTEM INFORMASI

Menurut pendapat Ron Weber (1999, p.10 ), “ EDP auditing is the process of collecting and evaluating evidence to determine whether a computer systems safeguards assets, maintains data integrity, achieves or- ganzational goals effectively, and consumes resources effiently”. Pengertiannya secara garis besar ialah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi  telah  menetapkan  dan  menerapkan  sistem  pengendalian intern yang memadai, semua aktiva dilindungi dengan baik/ tidak disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.
 Audit sistem informasi dilakukan untuk dapat menilai:
a.   apakah sistem komputerisasi suatu organisasi/perusahaan dapat mendukung pengamanan aset.
b.   apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan.
c.   apakah  sistem  komputerisasi  tersebut  efektif,  efisien  dan  data integrity terjamin.
Dikaitkan dengan pengertian dan jenis-jenis audit yang telah dibahas pada bab sebelumnya, audit sistem informasi dapat dikelompokkan dalam beberapa tipe. Audit sistem informasi akuntansi berbasis komputer merupakan bagian dari suatu kegiatan audit laporan keuangan yang sistem akuntansinya berbasis komputer, khususnya dalam pengujian pengendalian (test of controls) apakah sistem dan program-programnya sudah benar, atau dalam audit substantif (substantive test of transactions and balance related) apakah data/file yang ada pada sistem komputerisasi benar. Di pihak lain audit sistem informasi juga dapat dikatagorikan sebagai jenis audit operasional,  khususnya kalau pemeriksaan  yang dilakukan adalah dalam rangka  penilaian  terhadap  kinerja  unit  fungsional  atau  fungsi  sistem informasi  (pusat/instalasi  komputer),  atau  untuk  mengevaluasi  sistem- sistem aplikasi yang diimplementasikan pada suatu organisasi (general review), untuk memeriksa keterandalan sistem aplikasi komputer yang sedang dikembangkan  (concurrent  audit),  maupun  yang  sudah dioperasikan (post implementation audit).
Jadi  secara  lebih  jelas  audit  sistem  informasi  dapat  digolongkan dalam tipe atau jenis-jenis audit sebagai berikut:
1.   Audit laporan keuangan (Financial Statement Audit)
2.   Audit operasional (Operational Audit)
2.1.   Audit terhadap aplikasi komputer
a.   Postimplementation audit (audit setelah implementasi)
b.   Concurrent audit (audit secara bersama-sama)
2.2.   General audit (audit umum)
Auditor  mengevaluasi  kinerja  unit  fungsional  atau  fungsi  sistem informasi (instalasi komputer) apakah telah dikelola dengan baik.

Audit Sistem Informasi

Audit Sistem Informasi
Pengendalian Jejak Audit
Pengertian Audit IT
Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.
Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.
Sejarah singkat Audit IT
Audit IT yang pada awalnya lebih dikenal sebagai EDP Audit (Electronic Data Processing) telah mengalami perkembangan yang pesat. Perkembangan Audit IT ini didorong oleh kemajuan teknologi dalam sistem keuangan, meningkatnya kebutuhan akan kontrol IT, dan pengaruh dari komputer itu sendiri untuk menyelesaikan tugas penting. Pemanfaatan teknologi komputer ke dalam sistem keuangan telah mengubah cara kerja sistem keuangan, yaitu dalam penyimpanan data, pengambilan kembali data, dan pengendalian. Sistem keuangan pertama yang menggunakan teknologi komputer muncul pertama kali tahun 1954. Selama periode 1954 sampai dengan 1960-an profesi audit masih menggunakan komputer. Pada pertengahan 1960-an terjadi perubahan pada mesin komputer, dari mainframe menjadi komputer yang lebih kecil dan murah. Pada tahun 1968, American Institute of Certified Public Accountants (AICPA) ikut mendukung pengembangan EDP auditing. Sekitar periode ini pula para auditor bersama-sama mendirikan Electronic Data Processing Auditors Association (EDPAA). Tujuan lembaga ini adalah untuk membuat suatu tuntunan, prosedur, dan standar bagi audit EDP. Pada tahun 1977, edisi pertama Control Objectives diluncurkan. Publikasi ini kemudian dikenal sebagai Control Objectives for Information and Related Technology (CobiT). Tahun 1994, EDPAA mengubah namanya menjadi Information System Audit (ISACA). Selama periode akhir 1960-an sampai saat ini teknologi TI telah berubah dengan cepat dari mikrokomputer dan jaringan ke internet. Pada akhirnya perubahan-perubahan tersebut ikut pula menentukan perubahan pada audit IT.
Jenis Audit IT
1. Sistem dan aplikasi.
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
3. Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
4. Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5. Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.

Alasan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain:
1.Kerugian akibat kehilangan data.
2.Kesalahan dalam pengambilan keputusan.
3.Resiko kebocoran data.
4.Penyalahgunaan komputer.
5.Kerugian akibat kesalahan proses perhitungan.
6.Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.

Manfaat Audit IT
A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.

B. Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Metodologi Audit IT.
Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut :
Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
Mengidentifikasikan reiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan auditee.
Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
Alasan dilakukannya Audit IT.
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain:
Kerugian akibat kehilangan data.
Kesalahan dalam pengambilan keputusan.
Resiko kebocoran data.
Penyalahgunaan komputer.
Kerugian akibat kesalahan proses perhitungan.
Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Resiko kecurangan
auditing yang diterima umum mengharuskan auditor untuk menilai resiko kesalahan pernyataan material sampai kecurangan. Ketika auditor mempertimbangkan resiko bawaan dan resiko pengendalian, auditor juga harus mempertimbangkan resiko kecurangan. Auditor biasanya mempertimbangkan resiko kesalahan pernyataan material dengan membagi dua tipe kecurangan: kecurangan laporan keuangan dan penyalahgunaan asset. Segitiga kecurangan yang menggambarkan aspek umum dari seluruh kecurangan, yaitu:
1. Kesempatan untuk melakukan kecurangan.
2. Insentive atau tekanan
3. Kemampuan untuk merasionalisasi kecurangan menjadi konsisten dengan nilai kepantasan internal.
Pada tahap awal audit, tim audit menyewa dalam sesi brainstorming untuk memastikan setiap orang dalam tim audit menyadari faktor-faktor potensi resiko yang dapat meningkatkan resiko kecurangan.
Contoh umum kecurangan laporan keuangan mengakibatkan penadapatan yang lebih besar dari sebenarnya. Pertama, kecurangan laporan keuangan biasanya mengakibatkan beberapa level manajemen mengesampingkan pengendalian internal (pengendalian resiko) yang memperbolehkan kesempatan untuk manajer akuntansi salah menyatakan pendapatan. Kedua, hal itu biasanya mengakibatkan dorongan dalam bonus atau tekanan yang signifikan dari menajer senior untuk terget pendapatan (resiko bawaan).
Sama halnya, penyalahgunakan asset menyebabkan faktor kecurangan umum yang sama. Biasanya penyahgunaan asset berhubungan dengan kesempatan yang diciptakan oleh pemisahan kemiskinan dari kewajiban dan kemiskinan atau pengendalian internal yang tidak efektif (resiko pengendalian tinggi).
Mengembangkan strategi audit pendahuluan
Auditor kadang membuat keputusan pendahuluan tentang komponen model resiko audit dan mengembangkan strategi pendahhuluan untuk mengumpulkan bukti-bukti. Audit sekarang ini, auditor mengawali audit dengan pengalaman sebelumnya pada suatu entitas. Setelah memperbaharui pengetahuan perubahan dalam entitas dan lingkungan, dan menjalankan sedikit prosedur rencana audit awal, auditor mungkin harus memulai untuk mengembangkan harapan apakah pengendalian internal melanjutkan untuk berfungsi sesuai diharapkan, dan apakah faktor lain tetap yang mengkun mengindikasikan potensi kesalahan pelaporan. Auditor kadang mengembangkan strategi audit awal untuk mengaudit asersi.
Memahami pengendalian internal
Auditor diharuskan mendapatkan pemahaman sistem entitas dari pengendalian internal di setiap audit. Auditor menggunakan pemahaman ini untuk:
1. Mengidentifikasi jenis-jenis potensi kesalahan pelaporan.
2. Mempertimbangan faktor-faktor efek resiko meterialitas kesalahan pelaporan.
3. Mendesain bawaan, pemilihan waktu dan luasnya prosedur audit lanjutan.
Pertama, auditor menggunakan pemahaman pengendalian internal untuk mengidentifikasi tipe potensi kesalahan pelaporan yang mungkin terjadi. Contohnya, meninjau sistem pendapatan gereja yang memberikan kontribusi kas yang signifikan. Bawaan penerimaan entitas menciptakan urusan diatas kelengkapan penerimaan.
Kedua, auditor biasanya paham bagaimana sistem pengendalian internal akan mencegah, atau mendeteksi dan mengoreksi, potensi kesalahan pelaporan untuk asersi tiap laporan keuangan. Sistem yang kuat dari pengendalian internal mengurangi potensial kesalahan pelaporan laporan keuangan.
Terakhir, auditor menggunakan pemanaman sistem pengendalian internal untuk mendesain prosedur audit lanjutan untuk mengumpulkan bukti. Contohnya, dokumentasi atau jejak audit elektronik adalah bagian pengendalian internal. Ini penting untuk memahami sitem ini guna mengidentifikasi bukti yang tepat untuk menguji asersi laporan keuangan.
Hubungan faktor resiko dengan potensi kesalahan pelaporan laporan keuangan
Awalnya, auditor harus menghubungkan faktor resiko yang teridentifikasi selama menalankan prosedur penaksiran resiko yang berpotensi pada kesalahan pelaporan pada laporan keuangan. Contohnya, auditor harus memahami apakah kesalahan pelaporan seperti pada penualan dan penerimaan, atau inventori, atau pada akuntasi untuk harta tetap. Auditor juga harus memahami apakah faktor, seperti kelemahan sistem pengendalian internal, apakah masa sekarang akan memberikan efek pada laporan keuangan.
Menentukan Besarnya Potensi Kesalahan
Ketika menaksi resiko bawaan dan pengendalian pada suatu audit klien, auditor harus menentukan besarnya potensi kesalahan yang dihubungkan pada faktor-faktor resiko. Contohnya dalam bisnis untuk mengimplementasi sistem pengendalian internal digunakan pertimbangan biaya dan manfaat dan dalam dunia bisnis beranggapan biaya yang dikeluarkan untuk pengendalian kesalahan kecil lebih besar dari manfaatnya.
Auditor perlu membedakan antara faktor resiko yang dihubugkan dengan kesalahan yang berpotensi dapat di agregasi kepada jumlah yang material. Contohnya sama seperti persoalan pengakuan pendapatan akan mempunyai pengaruh potensi yang besar kepada laporan keuangan daripada biaya dibayar dimuka. Selanjutnya, penilaian inventori lebih signifikan perusahaan kertas daripada hotel/bank.
Menentukan Kemungkinan Kesalahan Material
Disamping memeriksa besarnya resiko potensial, auditor juga butuh menentukan kemungkinan resiko itu akan menghasilkan kesalahan material pada laporan keuangan. Adalah tugas auditor untuk mengidentifikasi faktor-faktor resiko yang dihubungkan dengan resiko bawaan yang tinggi dimana kemungkinan kesalahan material dapat dikurangi oleh system pengendalian internal klien. Dalam membuat penaksiran ini auditor terdiri dari resiko bawaan dan resiko pengendalian. Contohnya perusahaan konstruksi mungkin memiliki resiko bawaan yang tinggi sampai kompleksitas estimasi kontrak konstruksi jangka panjang. Beberapa perusahaan konsturksi ukuran sedang juga memiliki pengendalian internal yang lemah. Hasilnya auditor membutuhkan untuk mendesain kecukupan dan kemampuan prosedur audit untuk mrndeteksi kesalahan material.
Menentukan Tingkat Signifikansi Resiko Bawaan
Dalam GAAS auditor harus menentukan mana yang diidentifikasi sebagai resiko dalam pernyataan auditor, signifikan resiko bawaan yang membutuhkan pertimbangan pemeriksaan special. Dalam fase audit selanjutnya, tanggapan dalam penaksiran audit, auditor mengharuskan untuk memberikan perhatian kepada fakta yang beresiko diidentifikasi ebagai resiko bawaaan yang signifikan.
Dalam megidentifikasi resiko bawaan signifikan auditor mempertimbangkan masalah-masalah seperti:
• Apakah resiko itu adalah resiko kecurangan. Contohnya: resiko bawaan signifikan mugkin diindikasi jika auditor merasakan 3 elemen triangle fraud terjadi.
• Apakah resiko itu berhubungan dengan kejadian ekonomi di masa sekarang, akuntansi atau perkembangan lain yang membutuhkan perhatian spesial.
• Kompleksitas transaksi yang dapat memberikan kenaikan resiko.
• Apakah resiko meliputi transaksi signifikan dihubungkan dengan bagian-bagian.
• Tingkat subjektifitas dalam pengukuran informasi keuangan dihubungkan dengan resiko.
• Apakah resiko meliputi transaksi non rutin yang signifikan transaksi non rutin adalah transaksi yang tidak biasa, dapat dilihat dari ukuran/besarnya dan kebiasaan dan jarang terjadi.
• Apakah resiko meliputi masalah keputusan.
• Resiko bisnis signifikan seringkali adalah resiko bawaan signifikan.
Waktu Pengujian Audit
Auditor kadang memilih memodifikasi waktu pengujian audit dengan memilih tes performa pengendalian atau substantif tes saat tanggal sementara. Jika pengedalian internal ditemukan menjadi efektif untuk merespon masalah hanya jika tes relean dengan resiko yang tidak dapat diterima pada kesimpulan auditor dari sampel yang mungkin berbeda dari konklusi yang didapat jika seluruh populasi menjadi subjek pada prosedur audit yang sama.
Tanggapan Pada Resiko Bawaan Yang Signifikan
Resiko bawaan yang signifikan timbul dalam kebayakan audit dan berkisar dari beresiko hasil kesalahan material dari resiko bisnis klien sampai transaksi non rutin atau transaksi komplek sampai resiko penilaian tinggi dari audit. Pertama, auditor harus mengevaluasi efektifitas dari desain pengendalian internal dihubungkan kepada seluruh resiko bawaan signifikan. Kedua, jika banana audit pada pengumpulan bukti dari tes pengendalian sampai mengurangi resiko bawaan signifikan, auditor harus menguji efektifitas operasi dari pengendalian relevan di periode audit sekarang. Ketiga, auditor harus melakukan pengujian substantif yang dapat merespon resiko bawaan signifikan.
Tujuan audit SIA adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut.
  1. Perlengkapan keamanan melindungi perlengkapan komputer,  program, komunikasi, dan data dari akses yang   tidak sah, modifikasi, atau penghancuran.
  2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
  3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
  4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap
  5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
  6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.