Materi Akuntansi Perusahaan

COSO mendefinisikan sebuah peristiwa sebagai "insiden atau kejadian yang berasal dari sumber internal atau eksternal yang mensugesti implementasi taktik atau pencapaian tujuan. Peristiwa mungkin memiliki dampak faktual atau negatif atau keduanya. Suatu peristiwa mencerminkan ketidakpastian, mungkin atau mungkin tidak terjadi, sulit untuk mengetahui kapan hingga ia terjadi, mungkin sulit untuk menentukan dampaknya saat itu terjadi, mungkin memicu peristiwa lain dapat terjadi secara individu atau bersamaan. Manajemen harus mencoba untuk mengantisipasi semua kemungkinan peristiwa faktual atau negatif, menentukan mana yang paling dan paling mungkin terjadi, dan memahami keterkaitan antar peristiwa.

Sebagai contoh, implementasi sistem Electronic Data Interchange (EDI) yang menciptakan dokumen elektronik, mengirimkan mereka ke pelanggan dan pemasok, dan mendapatkan jawaban elektronik. Beberapa peristiwa perusahaan yang mungkin dihadapi ialah memilih teknologi yang tepat, susukan yang tidak sah, hilangnya integritas data, ketidaklengkapan sistem transaksi, dan sistem yang tidak kompetibel.

Beberapa perusahaan teknik digunakan untuk mengidentifikasi kejadian termasuk menggunakan daftar lengkap peristiwa potensial, melaksanakan analisis internal, pemantauan program terkemuka dan memicu poin, melaksanakan lokakarya dan wawancara, dengan menggunakan data mining, dan menganalisis proses bisnis.

Romney and Steinbart (2015), menyatakan bahwa risiko sebuah peristiwa yang teridentifikasi dinilai dalam beberapa cara yang berbeda: kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan kategori, efeknya pada unit-unit organisasi lainnya, dan pada basis inehren dan residual. Risiko inheren yaitu kerentanan yang mengatur seperangkat akun atau transaksi untuk duduk perkara pengendalian yang signifikan dalam absennya pengendalian internal. Risiko residual yaitu resiko yang tersisa setelah administrasi menerapkan pengendalian internal atau respon lain terhadap risiko. Perusahaan harus menilai risiko yang melekat, membuatkan respon, dan kemudian menilai risiko residual.

COSO (2013:4) menjelaskan mengenai komponen penilaian risiko (risk assessment) sebagai berikut :
“Risk is defined as the possibility that an event will occur and adversely affect the achivement of objectives. Risk assessment involves a dynamic and iteractive process for identifying and assessing risks to the achievement of objectives. Risks to the achievement of these objectives from across the entity are considered relative to established risk tolerances. Thus, risk assessment forms the basis for determining how risks will be managed. A precondition to risk assessment is the establishment of objectives, linked at different levels of the entity. Management specifies objectives within categories relating to operations, reporting and compliance with sufficient clarity to be able to identify and analyze risks to those objectives. Management also considers the suitability of the objectives for the entity. Risk assessment also requires management to consider the impact of possible changes in the external environment and within its own business model that may render internal control ineffective.”

Berdasarkan rumusan COSO, bahwa penilaian risiko melibatkan proses yang dinamis dan interaktif untuk mengidentifikasi dan menilai risiko terhadap pencapaian tujuan. Risiko itu sendiri dipahami sebagai suatu kemungkinan bahwa suatu peristiwa akan terjadi dan mensugesti pencapaian tujuan entitas, dan risiko terhadap pencapaian seluruh tujuan dari entitas ini dianggap relatif terhadap toleransi risiko yang ditetapkan. Oleh alasannya itu, penilaian risiko membentuk dasar untuk menentukan bagaimana risiko harus dikelola oleh organisasi.

Selanjutnya, COSO (2013:7) menjelaskan mengenai prinsip – prinsip yang mendukung penilaian risiko sebagai berikut :
a. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.
b. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.
c. The organization considers the potential for fraud in assessing risks to the achievement of objectives.
d. The organization identifies and assesses changes that could significantly impact the system of internal control.”

Romney and Steinbart (2015), menegaskan bahwa untuk menyelaraskan risiko diidentifikasi dengan toleransi perusahaan terhadap risiko, administrasi harus menggunakan pandangan yang luas wacana risiko. Mereka harus menilai kemungkinan risiko dan dampak serta biaya dan manfaat dari respon alternatif. Manajemen dapat merespon risiko dalam salah satu dari empat cara :
a. Mengurangi kemungkinan dan dampak risiko dengan menerapkan sistem pengendalian intern yang efektif.
b. Menerima kemungkinan dan dampak risiko.
c. Membagi risiko atau mentransfer ke orang lain dengan membeli asuransi, outsourcing aktivitas, atau memasukkannya ke dalam transaksi yang terlindungi.
d. Menghindari risiko dengan tidak terlibat dalam kegiatan yang menghasilkan risiko.

COSO (2013:5) menjelaskan mengenai kegiatan pengendalian (control activities) sebagai berikut :

“Control activities are the actions established through policies and procedures that help ensure that management’s directives to mitigate risks to the achievement of objectives are carried out. Control activities are performed at all levels of the entity, at various stages within business processes, and over the technology environment. They may be preventive or detective in nature and may encompass a range of manual and automated activities such as authorizations and approvals, verifications, reconciliations, and business performance reviews. Segregation of duties is typically built into the selection and development of control activities. Where segregation of duties is not practical, management selects and develops alternative control activities.”

Berdasarkan rumusan COSO, bahwa kegiatan pengendalian yaitu tindakan – tindakan yang ditetapkan melalui kebijakan – kebijakan dan prosedur – prosedur yang membantu memastikan bahwa instruksi administrasi untuk mengurangi risiko terhadap pencapaian tujuan dilakukan. Aktivitas pengendalian dilakukan pada semua tingkat entitas, pada banyak sekali tahap dalam proses bisnis, dan atas lingkungan teknologi.

Selanjutnya, COSO (2013:7) menegaskan mengenai prinsip – prinsip dalam organisasi yang mendukung kegiatan pengendalian yaitu sebagai berikut :
a. Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi terhadap mitigasi risiko pencapaian sasaran pada tingkat yang dapat diterima.
b. Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi untuk mendukung tercapainya tujuan.
c. Organisasi berbagi kegiatan pengendalian melalui kebijakan – kebijakan yang menetapkan apa yang diharapkan, dan prosedur – prosedur yang menempatkan kebijakan – kebijakan ke dalam tindakan.

COSO (2013:5) menjelaskan mengenai komponen berita dan komunikasi (information and communication) dalam pengendalian internal sebagai berikut :
“Information is necessary for the entity to carry out internal control responsibilities to support the achievement of its objectives. Management obtains or generates and uses relevant and quality information from both internal and external sources to support the functioning of other components of internal control. Communication is the continual, iterative process of providing, sharing, and obtaining necessary information. Internal communication is the means by which information is disseminated throughout the organization, flowing up, down, and across the entity. It enables personnel to receive a clear message from senior management that control responsibilities must be taken seriously. External communication is twofold : it enables inbound communication of relevant external information, and it provides information to external parties in response to requirements and expectations.”

Sebagaimana yang dinyatakan oleh COSO di atas, bahwa berita sangat penting bagi setiap entitas untuk melakukan tanggungjawab pengendalian internal guna mendukung pencapaian tujuan – tujuannya. Informasi yang diharapkan administrasi ialah berita yang relevan dan berkualitas baik yang berasal dari sumber internal maupun eksternal dan berita digunakan untuk mendukung fungsi komponen – komponen lain dari pengendalian internal. Informasi diperoleh ataupun dihasilkan melalui proses komunikasi antar pihak internal maupun eksternal yang dilakukan secara terus – menerus, berulang, dan berbagi. Kebanyakan organisasi membangun suatu sistem berita untuk memenuhi kebutuhan berita yang andal, relevan, dan sempurna waktu.

COSO (2013:7) selanjutnya menegaskan mengenai prinsip – prinsip dalam organisasi yang mendukung komponen berita dan komunikasi yaitu sebagai berikut :
a. Organisasi memperoleh atau menghasilkan dan menggunakan berita yang berkualitas dan yang relevan untuk mendukung fungsi pengendalian internal.
b. Organisasi secara internal mengkomunikasikan informasi, termasuk tujuan dan tanggungjawab untuk pengendalian internal dalam rangka mendukung fungsi pengendalian internal.
c. Organisasi berkomunikasi dengan pihak eksternal mengenai hal – hal yang mensugesti fungsi pengendalian internal.

EXAMPLE	EXPLANATION
People : Creation Of A “Security – Conscious” Culture	Manajemen puncak tidak hanya harus berkomunikasi kebijakan keamanan organisasi, tetapi juga harus memimpin dengan contoh. Karyawan lebih mungkin untuk mematuhi kebijakan keamanan info saat mereka melihat manajer mereka melakukannya. Sebaliknya, jikalau karyawan mengamati manajer melanggar kebijakan keamanan informasi, misalnya dengan menuliskan password dan membubuhkan ke pemantauan, mereka cenderung menggandakan perilaku itu. Gambar 1. Various Preventetive Controls : Pieces the Security Puzzle
People : Training	Pelatihan yaitu kontrol preventif secara kritis. Investasi organisasi dalam pelatihan keamanan akan efektif hanya jikalau administrasi terperinci menunjukkan bahwa ia mendukung karyawan yang mengikuti kebijakan keamanan yang ditentukan. Hal ini sangat penting untuk memerangi serangan rekayasa sosial, sebab penanggulangan terkadang membuat konfrontasi memalukan dengan karyawan lainnya.
Process : User Access Controls	·       Authentication Controls, yaitu proses verifikasi identitas orang atau perangkat yang mencoba mengakses sistem. ·       Authorization Controls, yaitu proses membatasi kanal pengguna dikonfirmasi ke episode tertentu dari sistem dan membatasi tindakan apa yang mereka diizinkan untuk melakukan.
IT Solutions : Antimalware Controls	COBIT 5 episode DSS05.01 berisi pinjaman malware sebagai salah satu kunci untuk keamanan yang efektif.
IT Solutions : Network Access Controls	Kebanyakan organisasi menyediakan karyawan, pelanggan, dan pemasok dengan kanal remote ke sistem info mereka. Biasanya kanal ini terjadi melalui internet, tetapi beberapa organisasi masih menjaga jaringan milik mereka sendiri atau menunjukkan pribadi kanal dial-up oleh modem.
IT Solutions : Device and Software Hardening Controls	Sebuah organisasi dapat meningkatkan sistem keamanan info dengan menambah kontrol pencegahan pada perimeter jaringan dengan kontrol pencegahan aksesori pada workstation, server, printer, dan perangkat lain (secara kolektif disebut sebagai endpoint) yang terdiri jaringan organisasi.
IT Solutions : Encryption	Enkripsi menunjukkan lapisan selesai pertahanan untuk mencegah kanal tidak sah ke info sensitif.
Physical Security : Access Controls	Kontrol kanal fisik dimulai dengan entry point untuk bangunan itu sendiri. Idealnya, seharusnya hanya ada satu titik masuk reguler yang tetap tidak terkunci selama jam kerja normal. Akses fisik ke peralatan komputer kamar perumahan juga harus dibatasi. Beberapa kanal upaya gagal harus memicu alarm. Akses ke kabel yang digunakan dalam rencana organisasi juga perlu dibatasi untuk mencegah penyadapan.
Change Controls and Change Management	Perubahan kontrol dan administrasi perubahan yaitu proses formal yang digunakan untuk memastikan bahwa modifikasi perangkat keras, perangkat lunak, atau proses tidak mengurangi keandalan sistem.

EXAMPLE	EXPLANATION
Log Analysis	Analisis log yaitu proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan adanya serangan. Log perlu dianalisis secara teratur untuk mendeteksi problem pada waktu yang tepat. Analisis log kesannya membutuhkan penilaian insan untuk menafsirkan laporan dan mengidentifikasi situasi yang tidak "normal".
Intrusion detection systems	IDS yaitu sistem yang menciptakan log dari semua lalu lintas jaringan yang diizinkan untuk lulus firewall dan kemudian menganalisa log mereka untuk tanda-tanda berusaha atau intrusi sukses. IDS dapat diinstal pada perangkat tertentu untuk memantau upaya tidak sah untuk mengubah konfigurasi perangkat ini.
Penetration testing	Sebuah uji penetrasi merupakan upaya yang berwenang baik oleh tim audit internal atau sebuah perusahaan konsultan keamanan eksternal untuk masuk ke sistem info organisasi.
Continuous monitoring	COBIT 5 praktik administrasi APO01.08 menekankan pentingnya terus memantau kedua kepatuhan karyawan dengan kebijakan keamanan info organisasi dan kinerja keseluruhan proses bisnis.

EXAMPLE	EXPLANATION
Computer incident response teams (CIRT)	CIRT ialah tim yang bertanggung jawab untuk menangani insiden keamanan. KOTA harus memimpin proses respon insiden organisasi melalui empat langkah berikut: (1) Pengakuan bahwa ada masalah, (2) penahanan dari masalah, (3) pemulihan, (4) tindak lanjut.
Chief information security officer (CISO)	CIO harus memahami lingkungan teknologi perusahaan dan bekerja dengan kepala petugas isu (CIO) untuk merancang, melaksanakan, dan mempromosikan kebijakan keamanan bunyi dan prosedur. CIO juga harus menjadi penilai memihak dan evaluator dari lingkungan TI. The CIO juga perlu bekerja sama dengan orang yang bertanggung jawab atas keamanan fisik, alasannya kanal fisik tidak sah dapat memungkinkan penyusup untuk memotong kontrol kanal logis yang paling rumit.
Patch management	Manajemen patch ialah proses untuk secara teratur menerapkan patch dan update untuk semua perangkat lunak yang digunakan oleh organisasi.

PENGENDALIAN UMUM
Romney and Steinbart (2015) mendefinisikan pengendalian umum (General controls) sebagai :
“Controls designed to make sure an organization’s information system and evenronment is stable and well managed, such as security, IT infrastructure, and software acquisition, development, and maintenance controls.”

Pengendalian umum bertujuan untuk memastikan pengendalian lingkungan dalam keadaan stabil dan di kelola dengan baik. Contohnya mencakup keamanan, Infrastruktur TI, dan akuisisi perangkat lunak, pengembangan, dan pemeliharaan.

PENGENDALIAN APLIKASI
Romney and Steinbart (2015) mendefinisikan pengendalian aplikasi (Application Controls) sebagai :
“Controls that prevent, detect, and correct transaction errors and fraud in application programs. They are concerned with the accuracy, completeness, validity, and authorization of the data captured, entered into the system, processes, stored, transmitted to other systems, and reported.”

Pengendalian aplikasi bertujuan untuk mencegah, mendeteksi, dan memperbaiki kesalahan transaksi dan fraud dalam kegiatan aplikasi. Pengendalian aplikasi berkaitan dengan akurasi, kelengkapan, keabsahan, dan otorisasi dari data yang diambil, dimasukkan, diproses, disimpan, dikirimkan ke sistem lain, dan dilaporkan.

Organisasi memiliki segudang isu sensitif, termasuk rencana strategis, belakang layar dagang, isu biaya, dokumen hukum, dan perbaikan proses. Kekayaan intelektual ini sering sangat penting untuk organisasi jangka panjang - menjalankan keunggulan kompetitif dan kesuksesan. Akibatnya, menjaga kerahasiaan kekayaan intelektual organisasi, dan isu yang sama bersama dengan dengan mitra bisnisnya, telah lama dikenal sebagai tujuan dasar keamanan informasi.

Identify and Classify Information To Be Protected
Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan isu bisnis sensitif lainnya yaitu untuk mengidentifikasi di mana isu tersebut berada dan siapa yang memiliki saluran ke sana. Langkah berikutnya yaitu untuk mengklasifikasikan isu dalam hal nilai bagi organisasi.

Encrypt The Information
Enkripsi merupakan alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Ini yaitu satu-satunya cara untuk melindungi isu dalam transit melalui Internet. Ini juga merupakan bab penting dari pertahanan - di - mendalam untuk melindungi isu yang disimpan di website atau di awan publik. Mengenkripsi data klien yang disimpan di portal menyediakan lapisan aksesori santunan dalam hal saluran tidak sah ke portal.

Control Access To The Information
Manajemen isu yang sempurna yaitu perangkat lunak menyampaikan lapisan aksesori santunan terhadap isu sensitif yang disimpan dalam format digital, menyampaikan kemampuan tidak hanya untuk membatasi saluran ke file atau dokumen tertentu, tetapi juga untuk menentukan tindakan (baca, copy, print, Unduh ke perangkat USB, dll) individu yang diberikan saluran ke sumber daya yang dapat melakukannya.
Kehilangan data pencegahan (DLP) yaitu perangkat lunak, yang bekerja menyerupai aktivitas antivirus secara terbalik, memblokir pesan keluar (apakah e - mail, IM, atau cara lain) yang berisi kata-kata kunci atau frase yang bekerjasama dengan kekayaan intelektual atau data sensitif lainnya organisasi ingin untuk melindungi.

Train Employees To Properly Handle The Information.
Pelatihan ini bisa dibilang kontrol yang paling penting untuk melindungi kerahasiaan. Dengan pelatihan yang tepat, karyawan dapat memainkan tugas penting dalam melindungi kerahasiaan isu organisasi dan meningkatkan efektivitas pengendalian terkait.

Prinsip privasi kerangka layanan iktikad berkaitan bersahabat dengan prinsip kerahasiaan, berbeda terutama dalam hal berfokus dalam melindungi informasi langsung wacana pelanggan, karyawan, pemasok atau mitra bisnis daripada data yang organisasi.

Privacy Controls
Seperti halnya untuk informasi rahasia, langkah pertama untuk melindungi privasi informasi langsung yang dikumpulkan dari pelanggan, karyawan, pemasok dan mitra bisnis ialah untuk mengidentifikasi informasi apa yang dimiliki organisasi, di mana disimpan, dan yang memiliki kanal ke sana.
Enkripsi ialah kontrol utama untuk melindungi privasi informasi langsung yang organisasi kumpulkan. Informasi yang perlu dienkripsi baik dikala sedang dalam perjalanan melalui Internet dan sementara itu dalam penyimpanan. Akibatnya, menyerupai kerahasiaan, melindungi privasi membutuhkan enkripsi suplementasi dengan kontrol kanal dan pelatihan. Untuk melindungi privasi, organisasi harus menjalankan Data masking kegiatan yang mengganti informasi langsung tersebut dengan nilai-nilai palsu sebelum mengirim data ke kegiatan pengembangan dan pengujian sistem.


Privacy Concerns
• Spam, ialah email yang tidak diinginkan yang mengandung baik iklan atau konten yang menyinggung. Ini juga merupakan privasi - persoalan yang berafiliasi alasannya peserta sering ditargetkan sebagai akhir dari kanal tidak sah ke daftar alamat e - email dan database yang berisi informasi pribadi. Spam tidak hanya mengurangi manfaat efisiensi e - mail, tetapi juga merupakan sumber dari banyak virus, worm, kegiatan spyware, dan jenis-jenis malware.
• Pencurian identitas, ialah penggunaan yang tidak sah dari informasi langsung seseorang untuk pelaku menerima keuntungan.

Privacy Regulatros and Generally Accepted Privacy Principles
Prinsip Privasi umumnya diterima (GAAP) mengidentifikasi dan mendefinisikan 10 praktik terbaik yang diakui secara internasional berikut untuk melindungi privasi pelanggan informasi langsung : manajemen, pemberitahuan, pilihan dan persetujuan, pengumpulan, penggunaan dan retensi, akses, pengungkapan untuk ketiga pihak, keamanan, kualitas, pemantauan dan penegakan hukum.

Romney and Steinbart (2015) mendefinisikan Integritas sebagai melindungi data dari gangguan yang tidak sah.

Input Controls
Jika data yang dimasukkan ke dalam sistem yang tidak akurat, tidak lengkap, atau tidak valid, output akan terlalu. Akibatnya, personil hanya berwenang bertindak sesuai dengan kewenangannya harus mempersiapkan dokumen sumber. Selain itu, bentuk desain, penghapusan dan penyimpanan dokumen sumber, dan otomatis kontrol entri data yang diharapkan untuk memverifikasi keabsahan input data.

Processing Controls
Kontrol juga diharapkan untuk memastikan bahwa data diolah dengan benar. Kontrol pengolahan penting meliputi : pencocokan data, label berkas, perhitungan total batch, lintas - pijakan dan nol - keseimbangan tes, menulis - mekanisme perlindungan, kontrol pembaruan bersamaan.

Output Controls
Pemeriksaan output sistem menawarkan kontrol perhiasan atas integritas pengolahan. Kontrol keluaran penting meliputi : user review output, prosedur rekonsiliasi, rekonsiliasi data eksternal, kontrol transmisi data.

Interupsi untuk proses bisnis alasannya ialah tidak tersedianya sistem atau berita dapat mengakibatkan kerugian keuangan yang signifikan. Akibatnya, COBIT 5 proses kontrol DSS01 dan DSS04 mengatasi pentingnya memastikan bahwa sistem dan berita yang tersedia untuk digunakan kapan saja diperlukan. Tujuan utama ialah untuk meminimalkan risiko downtime sistem.

Miniizing Risk Of System Downtime
Organisasi dapat melaksanakan aneka macam tindakan untuk meminimalkan risiko downtime sistem. Penggunaan komponen berlebihan menawarkan toleransi kesalahan, yang merupakan kemampuan sistem untuk terus berfungsi dalam hal komponen gagal tertentu.

Recovery and Resumption Of Normal Operations.
• Prosedur backup data, yang dirancang untuk menghadapi situasi di mana berita tidak dapat diakses alasannya ialah file atau database yang relevan telah menjadi rusak sebagai akhir dari kegagalan hardware, persoalan software, atau kesalahan manusia, tetapi sistem berita itu sendiri masih berfungsi.
• Pemulihan bencana dan perencanaan kelangsungan bisnis rencana untuk mengembalikan kemampuan TI organisasi dalam hal data center-nya hancur.
• Pengaruh virtualisasi dan Cloud Computing.

Kontrol otorisasi, ialah proses membatasi jalan masuk pengguna dikonfirmasi ke bab tertentu dari sistem dan membatasi tindakan apa yang mereka diizinkan untuk melakukan. Kontrol otorisasi sering dilaksanakan dengan menciptakan matriks kontrol akses. Kemudian, saat seorang karyawan mencoba untuk mengakses sistem isu khususnya sumber daya, sistem melaksanakan tes kompatibilitas yang cocok kredensial otentikasi pengguna terhadap matriks kontrol jalan masuk untuk menentukan apakah karyawan yang harus diizinkan untuk mengakses sumber daya itu dan melaksanakan tindakan yang diminta.

AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI INFORMASI
Audit atas sistem berbasis komputer / teknologi informasi memiliki ruang lingkup yang luas. Terdapat beberapa tahapan audit yang harus dilaksanakan dalam melaksanakan audit sistem berbasis teknologi informasi secara keseluruhan. Tahapan audit yang dilakukan meliputi tahap survey pendahuluan, tahap evaluasi pengendalian sistem (audit sistem informasi), tahap pengujian ketaatan dan tahap pengujian subtantif serta terakhir penyusunan laporan (Wilkinson, 2006). Sedangkan, menurut Romney and Steinbart (2015:337), mendefinisikan audit sistem informasi sebagai :

“An examination of the general and application controls of an IS to assess its compliance with internal control policies and procedures and its effectiveness in safeguarding assets.”

Audit merupakan proses menerima dan mengevaluasi bukti mengenai asersi ihwal tindakan ekonomi dan peristiwa dalam rangka untuk menentukan seberapa baik mereka sesuai dengan kriteria yang telah ditetapkan. Dari definisi tersebut, diperoleh empat langkah utama dalam proses audit (Romney and Steinbart, 2015:339), diantaranya yaitu :

1) Perencanaan Audit.
Menyelenggarakan apa yang perlu dilakukan, bagaimana dan siapa yang akan melaksanakan audit. Hal ini dilakukan dengan terlebih dahulu mengidentifikasi risiko, maka cukup dapat memahami ruang lingkup dan tujuan audit dan apa yang akan diminta untuk melaksanakan audit. Sebagian besar pekerjaan audit akan fokus pada tempat dengan jumlah tertinggi risiko.
Ada tiga jenis risiko audit, yaitu :
• Risiko yang melekat : risiko duduk perkara kontrol dalam ketiadaan kontrol internal.
• Pengendalian risiko : risiko salah saji material yang akan melewati struktur pengendalian intern.
• Deteksi risiko : risiko bahwa auditor dan prosedur tidak akan mendeteksi salah saji material atau kesalahan.

2) Pengumpulan bukti dapat dilakukan dalam banyak sekali cara :
• Observasi
• Meninjau dokumentasi
• Wawancara, diskusi, dan kuesioner
• Pemeriksaan fisik (misalnya, jumlah persediaan)
• Konfirmasi dengan pihak ketiga
• Reperforming perhitungan (misalnya, perkiraan menyerupai penyusutan atau perhitungan beban utang buruk)
• Dokumen pendukung vouching (misalnya, penjualan pesanan pelanggan, dokumen pengiriman, faktur penjualan, pembayaran pelanggan)
• Analytical review (memeriksa tren dan contoh baik di dalam organisasi dan industri mereka)

3) Evaluasi bukti melibatkan auditor berkesimpulan bahwa bukti mendukung atau tidak mendukung pernyataan.

4) Komunikasi hasil dalam bentuk laporan tertulis dan sering termasuk rekomendasi kepada manajemen.

Audit sistem informasi menggunakan kerangka berbasis risiko yang memungkinkan auditor untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem untuk memenuhi setiap tujuan tersebut (Romney and Steinbart, 2015:340). Kerangka berbasis risiko dapat diterapkan pada tujuan audit sistem informasi dalam empat bidang kerangka, yaitu :
• Mengidentifikasi penipuan dan kesalahan (ancaman) yang dapat terjadi yang mengancam setiap tujuan
• Identifikasi prosedur pengendalian (mencegah, mendeteksi, memperbaiki ancaman)
• Evaluasi prosedur pengendalian
 Tinjau untuk melihat apakah ada pengendalian dan dalam bab apa
 Uji kontrol untuk melihat apakah mereka bekerja sebagaimana dimaksud
• Menentukan efek kelemahan pengendalian
 Pengendalian kompensasi

Berikut ini ada beberapa teknik audit yang biasanya digunakan oleh auditor secara bersamaan untuk aktivitas pengujian (Romney and Steinbart, 2015:347), diantaranya ialah :
a. Integrated Test Facility (ITF), menyisipkan entitas dummy dalam sistem perusahaan, pengolahan transaksi tes untuk memperbarui mereka tidak akan mensugesti catatan sebenarnya.
 Menggunakan input fiktif

b. Snapshot Technique, menandai transaksi dengan arahan khusus, merekam dan catatan master file mereka sebelum dan setelah pengolahan, dan menyimpan data untuk kemudian memverifikasi bahwa semua langkah pengolahan dieksekusi dengan baik.
 File induk sebelum dan setelah update disimpan untuk transaksi yang ditandai khusus

c. System Control Audit Review File (SCARF), menggunakan modul audit yang tertanam untuk terus memantau transaksi, mengumpulkan data ihwal transaksi dengan signifikansi audit khusus, dan menyimpan data untuk kemudian mengidentifikasi dan menyelidiki transaksi yang dipertanyakan.
 Pemantauan terus menerus dan penyimpanan transaksi yang memenuhi pra-spesifikasi

d. Audit Hooks, rutinitas audit yang memberitahukan auditor terkait transaksi yang dipertanyakan tersebut.
 Memberitahukan auditor terkait transaksi yang diragukan.

e. Continuous and Intermittent Simulation, penyematan modul audit DBMS yang menggunakan kriteria tertentu untuk memeriksa semua transaksi yang update database.
 Sama halnya dengan SCARF untuk DBMS.

ANALISIS PROGRAM LOGIC. Jika auditor menerka bahwa aktivitas berisi arahan yang tidak sah atau kesalahan serius, analisis rinci dari kebijaksanaan aktivitas mungkin diperlukan. Ini memakan waktu dan memerlukan kemahiran dalam bahasa pemrograman yang sesuai, sehingga harus digunakan sebagai upaya terakhir. Auditor menganalisis pengembangan, operasi, dan dokumentasi aktivitas serta hasil cetakan dari arahan sumber. Mereka juga menggunakan paket perangkat lunak berikut (Romney dan Steinbart, 2015: 348) :
• Automated flowcharting program, perangkat lunak yang menafsirkan arahan sumber aktivitas dan menghasilkan flowchart kebijaksanaan program.
• Automated decision table program, perangkat lunak yang menafsirkan arahan sumber aktivitas dan menghasilkan tabel keputusan kebijaksanaan program.
• Scanning routines, software yang akan mencari aktivitas untuk terjadinya item tertentu.
• Mapping programs, software yang mengidentifikasi arahan aktivitas yang tidak dijalankan.
• Program tracing, berurutan mencetak semua langkah aktivitas yang dijalankan, bercampur dengan output, sehingga urutan eksekusi aktivitas dapat diamati.

Komputer - dibantu teknik Audit (CAATs) mengacu mengaudit software, sering disebut perangkat lunak audit umum (GAS), yang menggunakan auditor - spesifikasi yang disediakan untuk menghasilkan aktivitas yang melaksanakan fungsi audit, ada dengan mengotomatisasi atau menyederhanakan proses audit. CAATs idealnya cocok untuk memeriksa file data yang besar untuk mengidentifikasi catatan membutuhkan pemeriksaan pemeriksaan lebih lanjut. Menggunakan CAATs, auditor diakses catatan pemungutan pajak selama 4 tahun sebelumnya, mengurutkannya berdasarkan tanggal, menyimpulkan koleksi dari bulan, dan membuat laporan dari koleksi pajak bulanan. Auditor kemudian digunakan CAATs untuk membandingkan setiap catatan pemungutan pajak dengan catatan properti (Romney dan Steinbart, 2015: 350-351).

Untuk menggunakan CAATs, auditor memutuskan tujuan audit, mempelajari file dan database yang akan diaudit, merancang laporan audit, dan menentukan bagaimana untuk menghasilkan mereka. Program CAATs menggunakan spesifikasi untuk menghasilkan aktivitas audit. CAATs tidak dapat menggantikan pertimbangan auditor atau membebaskan auditor dari fase lain dari audit.

CAATs sangat berharga bagi perusahaan dengan proses yang kompleks, opertions didistribusikan, volume transaksi yang tinggi, atau banyak sekali macam aplikasi dan sistem. Berikut ini ialah beberapa kegunaan penting dari CAATs (Romney dan Steinbart, 2015: 352) :
• Query file data untuk mengambil pertemuan catatan kriteria yang ditentukan.
• Menciptakan, memperbarui, membandingkan, download, dan penggabungan file.
• Meringkas data, menyortir, dan penyaringan.
• Mengakses data dalam format yang berbeda dan mengkonversi data ke dalam format yang umum.
• Meneliti catatan untuk kualitas, kelengkapan, konsistensi, dan kebenaran.
• Stratifikasi catatan, memilih dan menganalisa sampel statistik.
• Pengujian untuk risiko spesifik dan mengidentifikasi bagaimana untuk mengendalikan risiko itu.
• Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya.
• Melakukan tes analitis, menyerupai rasio dan analisis kecenderungan, mencari contoh data yang tidak terduga atau dijelaskan yang mungkin mengindikasikan penipuan.
• Mengidentifikasi kebocoran keuangan, kebijakan non kepatuhan, dan kesalahan pengolahan data.
• Merekonsiliasi jumlah fisik untuk jumlah yang dihitung, pengujian akurasi ulama ekstensi dan saldo, pengujian untuk duplikat item.
• Format dan pencetakan laporan dan dokumen.
• Membuat kertas kerja elektronik.