IT Audit in Bank

Information System Quality Assurance and Control - TP2_ S3_R1

1. Resiko dalam IT audit .

Menurut Hendeson, Davis dan Lapke(2013), pengetahuan tentang resiko IT audit dan kontrol aplikasi (application control) membawa dampak yang signifikan dalam pelaksanaan internal audit yang terintegrasi. Auditor bisnis/ keuangan diharapkan juga memiliki pengetahuan akan IT sehingga memahami resiko- resiko yang ada.

Ditinjau dari IT Audit secara operasional, berikut daftar tabel resiko untuk BPR Maju Bersama

Menurut Singleton, (2014) ada resiko unik yang melekat (unique inherent risk) dalam IT audit dimana IT membawa resiko ke dalam entitas yane meliputi sistem, proses bisnis dan proses akuntansi atau finansial. Resiko itu timbul ketika IT hadir dan memerlukan IT auditor untuk melakukan identifikasi dan penilaian (assessment) atas resiko melekat pada IT.

Menurut Steven E. Sizemore dan ISACA team (2015), dalam pedoman IS Audit and Assurance Guideline 2202 Risk Assessment in Planning , seorang auditor pelaksanaan IT audit juga harus memperhatikan resiko berikut ini ;

1. Resiko kontrol (Control Risk) – Resiko dari kesalahan material error yang ada yang tidak dapat dicegah secara tepat waktu dengan menggunakan sistem internal control misalnya review atas computer log yang tinggi volumenya
2. Resiko Deteksi (Detection Risk) - resiko auditor tidak dapat mendeteksi risk dari prosedur substantive yang ada.hal ini bisa diatasi dengan mereview disaster recovery plan yang ada.
3. Resiko Melekat (Inherent Risk) adalah tingkat resiko yang melekat pada subyek misalnya tingkat materialitas yng berbeda antara aplikasi yang berbasis jaringan dengan aplikasi pada stand alone PC.

1. Tahap-tahap dalam IT audit menurut ISACA (2014) – IT Audit Framework (ITAF) - Performance Guidelines halaman 82 adalah ;
   1. Memulai ikatan kontrak audit (Engagement planning)
   2. Melakukan Risk Assessment dengan menjabarkan metode yang dipilih.

i. Melakukan review Organization structure yang ada berkaitan dengan roles and authorization untuk memastikan kecukupan (adequate) pemisahan tugas dan tanggung jawab ( segregation of duties)

ii. Melakukan review atas IT strategic planning process dengan mengevaluasi dan memonitor perkembangan proses IT dengan IT strategic plan

iii. Menentukan apakah strategi dan roadmap dari teknologi dan aplikasi yang dipakai sesuai dengan IT strategy plan.

1. Performance and Supervision –menjabarkan risk dan exposure
2. Tingkat materialitas (Materiality) dan juga audit evidence yang mendukung pendapat(opinion) dalam IT audit report
3. Mempertimbangkan hal-hal diluar standar operasi (Irregularity and Illegal Acts)

Tahapan teknis pelaksanaan IT audit menurut ISACA (2014) dengan menggunakan Computer Aided Audit Tools /CAATS( IT Audit Software)

i. Melakukan cek atas transaksi dan saldo yang ada (Tests of details of transactions and balances ) BPR Maju bersama

ii. Melakukan review atas prosedur yang ada (Analytical review procedures) dan mereview end to end process control.

iii. Melakukan Compliance tests atas Kontrol Umum Information System (IS general controls) dengan mengambil sampel data misalnya data nasabah yang memiiliki saldo besar ( high materiality)

iv. Melakukan Compliance tests atas IS Kontrol Aplikasi (IS application controls)

v. Melakukan Penetration testing untuk mengetes roles and authorization yang ada.

1. Rekomendasi kepada BPR Maju Bersama

Sumber Referensi:

David L. Henderson III1, J. M. (2013). The Effect of Internal Auditors’ Information Technology Knowledge. International Business Research; Vol.6, No. 4; , 1.

ISACA. (2014). https://www.isaca.org/knowledge-center/research/researchdeliverables/pages/itaf-3rd-edition.aspx. Retrieved from www.isaca.org: http://www.isaca.org/Knowledge-Center/Research/Documents/ITAF-3rd-Edition_fmk_Eng_1014.pdf

Singleton, T. (2014). https://www.isaca.org/Journal. Retrieved from www.isaca.org: https://www.isaca.org/Journal/archives/2014/Volume-6/Pages/The-Core-of-IT-Auditing.aspx

Steven E. Sizemore, C. C. (2015, September). https://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Audit-and-Assurance. Retrieved from www.isaca.org: https://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Audit-and-Assurance/Documents/2202-Risk-Assessment-in-Planning_gui_Eng_0614.pdf