T2 : Standard dan Panduan untuk audit sistem informasi serta prinsip-prinsip dasar proses audit SI

 

RESUME

MATERI AUDIT TEKNOLOGI INFORMASI

 

 

Disusun untuk memenuhi tugas

 

Mata Kuliah           : Audit Teknologi Informasi

Dosen Pengampu   : Kurniawan B. Prianto, S. Kom. SH. MM.

 

Oleh :

Ervan Maulana Fernando (10120354)

 

 

 

 

KELAS 4KA21

PROGRAM STUDI SISTEM INFORMASI

UNIVERSITAS GUNADARMA

2024

 

Memahami standard dan panduan untuk audit sistem informasi

POKOK BAHASAN : ISACA IS AUDIT STANDARDS AND GUIDELINES-COBIT 5

Sifat khusus dari audit dan jaminan sistem informasi (SI) serta keterampilan yang diperlukan untuk melakukan penugasan tersebut memerlukan standar yang berlaku khusus untuk audit dan jaminan SI. Pengembangan dan penyebaran standar audit dan jaminan IS merupakan landasan kontribusi profesional ISACA kepada komunitas audit.

Standar audit dan jaminan IS menentukan persyaratan wajib untuk audit IS. Mereka melaporkan dan menginformasikan:

• Profesional audit dan jaminan IS dengan tingkat kinerja minimum yang dapat diterima yang diperlukan untuk memenuhi tanggung jawab profesional yang ditetapkan dalam Kode Etik Profesional ISACA
• Harapan manajemen dan pihak berkepentingan lainnya dari profesi mengenai pekerjaan praktisi
• Pemegang persyaratan Certified Information Systems Auditor (CISA). Kegagalan untuk mematuhi standar-standar ini dapat mengakibatkan penyelidikan terhadap perilaku pemegang CISA oleh Dewan Direksi ISACA atau komite yang berwenang dan, pada akhirnya, tindakan disipliner.

Ø  STANDAR AUDIT DAN JAMINAN IS

Standar tersebut dibagi menjadi tiga kategori:

·        Standar umum (seri 1000) — Merupakan prinsip panduan di mana profesi jaminan sistem informasi beroperasi. Prinsip-prinsip ini diterapkan pada pelaksanaan semua penugasan dan berhubungan dengan etika, independensi, objektivitas dan kehati-hatian profesional dalam audit dan penjaminan sistem informasi, serta pengetahuan, kompetensi dan keterampilan.

·        Standar kinerja (seri 1200) —Mengurus pelaksanaan penugasan, seperti perencanaan dan pengawasan, pelingkupan, risiko dan materialitas, mobilisasi sumber daya, pengawasan dan manajemen penugasan, bukti audit dan jaminan, serta pelaksanaan pertimbangan profesional dan kehati-hatian.

·        Standar pelaporan (seri 1400) —Menangani jenis laporan, sarana komunikasi dan informasi yang dikomunikasikan.

Harap diperhatikan bahwa pedoman ini berlaku efektif tanggal 1 September 2014.

·       Umum
1001 Piagam Audit
1002 Independensi Organisasi
1003 Independensi Profesional
1004 Harapan Wajar
1005 Kecermatan Profesional
1006 Kemahiran
1007 Asersi
1008 Kriteria

 

·       Kinerja
1201 Perencanaan Penugasan
1202 Penilaian Resiko dalam Perencanaan
1203 Kinerja dan Pengawasan
1204 Materialitas
1205 Bukti
1206 Penggunaan Pekerjaan Tenaga Ahli Lain
1207 Penyimpangan dan Perbuatan Ilegal

 

·       Pelaporan
1401 Pelaporan
1402 Kegiatan Tindak Lanjut

 

Ø  PEDOMAN AUDIT DAN JAMINAN IS

Pedoman ini dirancang untuk secara langsung mendukung standar dan membantu praktisi mencapai keselarasan dengan standar. Standar tersebut mengikuti kategorisasi yang sama dengan standar (juga dibagi menjadi tiga kategori):

·       Pedoman umum (seri 2000)

·       Pedoman kinerja (seri 2200)

·       Pedoman pelaporan (seri 2400)

Piagam Audit 

·       Umum
2001 2002 Independensi Organisasi
2003 Independensi Profesional
2004 Harapan Wajar
2005 Due Professional Care
2006 Kemahiran
2007 Asersi
2008 Kriteria

·       Kinerja
2201 Perencanaan Penugasan
2202 Penilaian Risiko dalam Perencanaan
2203 Kinerja dan Pengawasan
2204 Materialitas
2205 Bukti
2206 Menggunakan Pekerjaan Tenaga Ahli lain
2207 Ketidakteraturan dan Perbuatan Ilegal
2208 Pengambilan Sampel

·       Pelaporan
2401 Pelaporan
2402 Kegiatan Tindak Lanjut

Sumber : (https://www.isaca.org/resources/isaca-journal/issues/2020/volume-1/standards-guidelines-tools-and-techniques)

POKOK BAHASAN : ITIL AUDIT STANDARDS

Standar Audit ITIL merujuk pada proses pemeriksaan dan evaluasi yang digunakan untuk menilai sejauh mana suatu organisasi atau unit bisnis telah menerapkan dan mematuhi praktik-praktik ITIL (Information Technology Infrastructure Library). ITIL adalah seperangkat praktik terbaik dalam manajemen layanan TI yang digunakan oleh organisasi untuk mengelola layanan TI mereka dengan lebih efektif dan efisien.

Standar audit ITIL biasanya mencakup evaluasi terhadap berbagai aspek implementasi ITIL, termasuk tetapi tidak terbatas pada:

1.     Kepatuhan terhadap proses-proses yang ditentukan dalam ITIL, seperti manajemen perubahan, manajemen kapasitas, manajemen kejadian, dan lain-lain.

2.     Efektivitas penggunaan proses-proses ITIL dalam meningkatkan pengiriman layanan TI dan memenuhi kebutuhan bisnis.

3.     Penilaian terhadap kesesuaian sistem, prosedur, dan praktik operasional dengan prinsip-prinsip ITIL.

4.     Identifikasi peluang untuk perbaikan dan peningkatan dalam implementasi ITIL.

Standar audit ITIL dapat membantu organisasi untuk mengevaluasi kematangan dan efektivitas penggunaan praktik-praktik ITIL dalam lingkungan TI mereka, serta mengidentifikasi area di mana perbaikan diperlukan. Hal ini juga dapat membantu organisasi untuk memastikan bahwa mereka mematuhi persyaratan dan standar yang ditetapkan dalam praktik ITIL.

Sumber : (https://www.linkedin.com/advice/0/what-some-key-audit-standards-frameworks-you-follow-reference dan https://www.knowledgehut.com/blog/it-service-management/itil-tools-and-techniques#itil-%E2%80%93-an-overview%E2%80%AF)

 

POKOK BAHASAN : KONSEP DASAR KONTROL DAN AUDIT SISTEM INFORMASI (SI)

Kontrol Sistem Informasi (SI) merupakan mekanisme yang dirancang untuk memastikan bahwa SI beroperasi dengan efektif, efisien, dan aman. Kontrol SI dapat membantu organisasi mencapai tujuannya, melindungi asetnya, dan memastikan keandalan data.

Jenis-jenis Kontrol SI:

• Kontrol Preventif: Dirancang untuk mencegah terjadinya kesalahan atau pelanggaran. Contohnya:
• Kontrol akses: Membatasi akses ke sistem dan data hanya kepada orang yang berwenang.
• Enkripsi data: Mengubah data menjadi format yang tidak dapat dibaca tanpa kunci dekripsi.
• Backup data: Membuat salinan data secara teratur untuk mencegah kehilangan data.
• Kontrol Detektif: Dirancang untuk mendeteksi jika terjadi kesalahan atau pelanggaran. Contohnya:
• Audit log: Merekam semua aktivitas yang terjadi dalam sistem.
• Rekonsiliasi data: Membandingkan data dari sumber yang berbeda untuk memastikan keakuratannya.
• Pengecekan checksum: Menghitung nilai checksum untuk data dan memverifikasinya untuk memastikan data tidak diubah.
• Kontrol Korektif: Dirancang untuk memperbaiki kesalahan atau pelanggaran yang telah terjadi. Contohnya:
• Pemulihan data: Memulihkan data dari backup jika terjadi kehilangan data.
• Tindakan disiplin: Memberikan sanksi kepada orang yang melanggar kebijakan SI.
• Perubahan prosedur: Mengubah prosedur SI untuk mencegah kesalahan atau pelanggaran yang sama terjadi di masa depan.

Audit Sistem Informasi (SI) merupakan proses pengumpulan dan evaluasi bukti untuk menentukan apakah SI organisasi telah mencapai tujuannya dan memenuhi standar yang telah ditetapkan.

Tujuan Audit SI:

• Memastikan kepatuhan terhadap peraturan dan kebijakan.
• Menilai efektivitas dan efisiensi SI.
• Mengidentifikasi dan mengelola risiko SI.
• Meningkatkan keamanan dan keandalan SI.
• Membantu organisasi mencapai tujuannya.

Jenis-jenis Audit SI:

• Audit Internal: Dilakukan oleh staf internal organisasi.
• Audit operasional: Menilai efektivitas dan efisiensi operasi SI.
• Audit kepatuhan: Memastikan kepatuhan SI terhadap peraturan dan kebijakan.
• Audit keamanan: Menilai keamanan SI dan mengidentifikasi risiko yang ada.
• Audit Eksternal: Dilakukan oleh pihak luar yang independen.
• Audit keuangan: Menilai apakah SI menghasilkan informasi keuangan yang akurat dan andal.
• Audit kinerja: Menilai apakah SI membantu organisasi mencapai tujuannya.

Manfaat Kontrol dan Audit SI:

• Meningkatkan efektivitas dan efisiensi SI.
• Melindungi aset organisasi.
• Memastikan keandalan data.
• Meningkatkan keamanan SI.
• Membantu organisasi mencapai tujuannya.

Contoh Penerapan Kontrol dan Audit SI:

• Sebuah bank menggunakan kontrol akses untuk membatasi akses ke sistem perbankannya hanya kepada karyawan yang berwenang.
• Sebuah perusahaan retail menggunakan enkripsi data untuk melindungi data pelanggannya dari akses yang tidak sah.
• Sebuah rumah sakit menggunakan audit log untuk mendeteksi aktivitas mencurigakan dalam sistem informasinya.
• Sebuah perusahaan manufaktur menggunakan rekonsiliasi data untuk memastikan keakuratan data keuangannya.
• Sebuah organisasi nirlaba menggunakan audit internal untuk memastikan kepatuhannya terhadap peraturan yang berlaku.

Sumber : (https://media.neliti.com/media/publications/219156-pelaksanaan-kontrol-dan-audit-sistem-inf.pdf dan https://www.mas-software.com/blog/apa-itu-audit-sistem-informasi)

 

POKOK BAHASAN : PRINSIP-PRINSIP DASAR PROSES AUDIT SI

Audit adalah prosedur pemeriksaan yang sistematis dan ilmiah atas laporan keuangan suatu organisasi. Dan seperti prosedur ilmiah lainnya, audit juga mempunyai prinsip dan aturan tertentu yang mengaturnya. Prinsip-prinsip tersebut adalah Standar Audit atau Auditing and Assurance Standards (AAS). Sekarang mari kita lihat beberapa prinsip dasar yang mengatur Audit .

Prinsip Dasar yang Mengatur Audit

SA-200 menjelaskan sembilan prinsip dasar yang mengatur prosedur audit. Ini mencantumkan peran dan tanggung jawab auditor dan kode etik umumnya selama audit. Kita akan membahas prinsip-prinsip ini secara singkat.

1] Integritas, Independensi dan Objektivitas

Auditor harus jujur saat mengaudit, dia tidak boleh memihak organisasi. Ia harus tetap obyektif sepanjang seluruh proses, integritasnya tidak boleh membiarkan terjadinya malpraktek.

Prinsip penting lainnya adalah kemandirian. Jadi auditor tidak dapat mempunyai kepentingan apapun terhadap organisasi yang diauditnya, sehingga memungkinkan dia untuk selalu independen dan tidak memihak.

2] Kerahasiaan

Auditor memiliki akses ke banyak informasi keuangan sensitif organisasi. Penting baginya untuk menghormati sifat rahasia informasi dan dokumen tersebut.

Dia tidak boleh mengungkapkan informasi sensitif apa pun kepada pihak ketiga mana pun kecuali hal itu diwajibkan oleh hukum. Dan dia juga harus sangat berhati-hati dengan dokumen, sertifikat, dll. yang dipercayakan organisasi kepadanya.

3] Keterampilan & Kompetensi 

Auditor harus berpengalaman dan terlatih dalam prosedur audit, yaitu harus memenuhi syarat sebagai auditor. Dan sebagai seorang profesional, dia harus selalu mengetahui perubahan terkini, pengumuman, peraturan, dll.

Jika perlu, dia dapat menjalani pelatihan dan lokakarya agar tetap mengikuti perkembangan prosedur audit dan akuntansi terkini. Misalnya, setelah GST diperkenalkan, auditor harus memperbarui pengetahuannya.

4] Pekerjaan yang Dilakukan oleh Orang Lain

Ruang lingkup audit terkadang bisa sangat luas. Jadi seorang auditor mempunyai karyawan, delegasi dan orang lain yang bekerja di bawahnya.

Namun, auditor akan tetap bertanggung jawab penuh atas pekerjaan yang dilakukan oleh orang-orang yang bekerja untuknya. Jadi auditor harus secara hati-hati mengawasi dan menelaah pekerjaan tersebut dan cukup yakin akan keakuratan pekerjaan tersebut.

5] Dokumentasi

Dalam kebanyakan kasus, auditor menyimpan buku catatan audit, rencana audit, dan file audit. Pentingnya auditor menyimpan catatan dokumen-dokumen penting sehubungan dengan pekerjaan auditnya, karena itu merupakan bukti pekerjaan yang telah dilakukan auditor. Dan klien rentan terhadap dokumen dan file ini jika dia ingin memeriksa pekerjaannya.

6] Perencanaan

Rencana audit memungkinkan auditor merencanakan pekerjaannya dan memungkinkannya menjadi lebih efisien dan tepat waktu. Setiap rencana audit berbeda karena harus disesuaikan menurut jenis organisasi, jenis bisnis yang mereka jalankan, ruang lingkup audit, efisiensi pengendalian internal, dll.

7] Bukti Audit

Auditor harus mengumpulkan cukup bukti untuk mendukung pendapat akhirnya. Pengumpulan bukti tersebut dilakukan melalui prosedur kepatuhan dan substantif. Ada dua sumber bukti ini – internal dan eksternal. Selain itu, sumber bukti eksternal selalu lebih dapat diandalkan.

8] Sistem Akuntansi dan Pengendalian Internal

Auditor harus memastikan bahwa rekening organisasi akurat dan mewakili gambaran yang benar dan adil tentang status keuangan perusahaan. Selain itu, auditor harus memastikan bahwa semua informasi material telah dicatat dalam akun. Menguji sistem pengendalian internal juga penting karena membantu menentukan hal yang sama.

9] Kesimpulan dan Pelaporan Audit

Setelah auditor mengumpulkan semua bukti, dia sekarang harus membentuk opininya berdasarkan kriteria berikut,

i. semua standar akuntansi yang relevan diterapkan setiap saat

ii. laporan keuangan telah mematuhi semua peraturan dan persyaratan undang-undang

iii. semua informasi material telah diungkapkan

Sumber : ( https://www.toppr.com/guides/accounting-and-auditing/concept-of-auditing/basic-principles-governing-an-audit/ ) 

POKOK BAHASAN : STANDAR DAN PANDUAN AUDIT SI

Standart Audit

Standar Audit SI tidak lepas dari standar professional seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya. Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. 

Panduan Audit

Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian intern (internal controls model/framework) lazi   mnya adalah COBIT. Audit objectives dalam audit terhadap IT governance (menurut COBIT adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi di sini.

Berikut adalah beberapa dari Standard dan Paduan Sistem Informasi yang biasa digunakan:

1.     ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.  ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

·       Sifat khusus audit sistem informasi, keterampilan dan pengetahuan yang diperlukan untuk melakukan audit SI memerlukan standar yang berlaku secara global

·       ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan

·       Dalam famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines and procedures

·       Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor.

·       Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.

·       Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.

·       Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.

2.     IIA COSO

The Comitte of Sponsoring Organizations of the treadway commission’s (COSO) dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut terdiri dari American Accounting Association, American Instititue of Certified Public Accountants, Financial Executives International, Instititute of Management Accountants, dan The Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud. Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:

1)     Lingkungan Pengendalian

Lingkungan pengendalian menetapkan nada organisasi, mempengaruhi kesadaran kontrol dari orang-orangnya. Ini adalah fondasi untuk semua komponen kontrol internal lainnya, menyediakan disiplin dan struktur. Faktor lingkungan pengendalian termasuk integritas, nilai-nilai etika, gaya operasi manajemen, pendelegasian sistem otoritas, serta proses untuk mengelola dan mengembangkan orang dalam organisasi.

2)     Penilaian Resiko

Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal yang harus dinilai. Prasyarat untuk penilaian risiko adalah pembentukan tujuan dan dengan demikian penilaian risiko adalah identifikasi dan analisis risiko yang relevan dengan pencapaian tujuan yang ditetapkan. Penilaian risiko merupakan prasyarat untuk menentukan bagaimana risiko harus dikelola.

3)     Aktivitas Pengendalian

Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan arahan manajemen dilaksanakan. Mereka membantu memastikan bahwa tindakan yang diperlukan diambil untuk mengatasi risiko yang dapat menghambat pencapaian tujuan entitas. Aktivitas kontrol terjadi di seluruh organisasi, di semua level dan di semua fungsi. Mereka termasuk berbagai kegiatan yang beragam seperti persetujuan, otorisasi, verifikasi, rekonsiliasi, tinjauan kinerja operasi, keamanan aset dan pemisahan tugas.

4)     Informasi dan Komunikasi

Sistem informasi memainkan peran kunci dalam sistem pengendalian internal karena mereka menghasilkan laporan, termasuk informasi operasional, keuangan dan kepatuhan, yang memungkinkan untuk menjalankan dan mengendalikan bisnis. Dalam arti yang lebih luas, komunikasi yang efektif harus memastikan arus informasi turun, melintasi, dan naik ke organisasi. Misalnya, prosedur formal ada bagi orang untuk melaporkan dugaan penipuan. Komunikasi yang efektif juga harus dipastikan dengan pihak eksternal, seperti pelanggan, pemasok, regulator dan pemegang saham tentang posisi kebijakan terkait.

5)     Pemantauan

Sistem kontrol internal perlu dipantau — suatu proses yang menilai kualitas kinerja sistem dari waktu ke waktu. Ini dicapai melalui kegiatan pemantauan yang sedang berlangsung atau evaluasi terpisah. Kekurangan kontrol internal yang dideteksi melalui kegiatan pemantauan ini harus dilaporkan di bagian hulu dan tindakan korektif harus diambil untuk memastikan perbaikan berkelanjutan dari sistem.

3.     ISO 1799

ISO/IEC 17799:2005 menetapkan pedoman dan prinsip-prinsip umum untuk memulai, menerapkan, mempertahankan, dan meningkatkan manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan menyediakan panduan umum pada umumnya diterima tujuan manajemen keamanan informasi.

ISO/IEC 17799 : 2005 berisi praktek-praktek terbaik tujuan pengendalian dan kontrol dalam bidang manajemen keamanan informasi:

·       kebijakan keamanan;

·       organisasi keamanan informasi;

·       manajemen aset;

·       keamanan sumber daya manusia;

·       keamanan fisik dan lingkungan;

·       komunikasi dan manajemen operasi;

·       kontrol akses;

·       informasi sistem akuisisi, pengembangan, dan pemeliharaan;

·       manajemen insiden keamanan informasi;

·       manajemen kontinuitas bisnis;

·       kepatuhan.

Sumber : (https://ardyanpp.wordpress.com/2020/10/05/standar-dan-panduan-audit-sistem-informasi/)

 

POKOK BAHASAN : KONTROL INTERNAL RUANG LINGKUP KONTROL INTERNAL

    Ruang lingkup kontrol internal meliputi seluruh aspek organisasi yang dapat memengaruhi pencapaian tujuan organisasi. Hal ini mencakup:

1. Lingkungan Pengendalian:

• Integritas dan nilai etika: Budaya perusahaan yang menekankan kejujuran, integritas, dan etika.
• Kompetensi staf: Memiliki staf yang kompeten dan terlatih untuk melaksanakan tugasnya.
• Struktur organisasi: Struktur organisasi yang jelas dan efektif, dengan pemisahan tugas yang tepat.
• Filosofi dan gaya manajemen: Filosofi dan gaya manajemen yang mendukung pengendalian internal.
• Kebijakan dan prosedur: Kebijakan dan prosedur yang jelas dan terdokumentasi untuk semua aktivitas organisasi.

2. Penilaian Risiko:

• Identifikasi risiko: Mengidentifikasi semua risiko yang dapat memengaruhi pencapaian tujuan organisasi.
• Penilaian risiko: Menilai kemungkinan terjadinya dan dampak dari setiap risiko.
• Respons risiko: Mengembangkan dan menerapkan respons yang tepat untuk setiap risiko.

3. Aktivitas Pengendalian:

• Pengendalian kebijakan: Kebijakan dan prosedur untuk mencegah atau mendeteksi dan mengoreksi kesalahan dan penyimpangan.
• Pengendalian fisik: Pengamanan aset fisik organisasi.
• Pengendalian catatan akuntansi: Menjaga keakuratan dan keandalan catatan akuntansi.
• Pengendalian akses: Membatasi akses ke aset dan informasi organisasi.

4. Informasi dan Komunikasi:

• Mengidentifikasi informasi yang dibutuhkan untuk mencapai tujuan organisasi.
• Mengumpulkan dan memproses informasi secara akurat dan tepat waktu.
• Mengkomunikasikan informasi kepada pihak yang berkepentingan.

5. Pemantauan:

• Melakukan pemantauan secara berkala terhadap efektivitas pengendalian internal.
• Mengidentifikasi dan mengoreksi kelemahan dalam pengendalian internal.
• Meningkatkan pengendalian internal berdasarkan hasil pemantauan.

Ruang lingkup kontrol internal dapat bervariasi tergantung pada ukuran, kompleksitas, dan jenis organisasi.

Contoh Ruang Lingkup Kontrol Internal:

• Proses pengadaan: Memastikan bahwa barang dan jasa diperoleh dengan harga yang wajar, dari pemasok yang berkualitas, dan sesuai dengan kebutuhan organisasi.
• Proses penjualan: Memastikan bahwa penjualan dicatat secara akurat, kas diterima tepat waktu, dan piutang dagang dikelola dengan baik.
• Proses produksi: Memastikan bahwa produksi berjalan dengan efisien dan efektif, menghasilkan produk berkualitas tinggi, dan sesuai dengan anggaran.
• Proses pelaporan keuangan: Memastikan bahwa laporan keuangan akurat, andal, dan disajikan sesuai dengan peraturan yang berlaku.

Pentingnya Ruang Lingkup Kontrol Internal:

• Membantu organisasi mencapai tujuannya.
• Melindungi aset organisasi.
• Meningkatkan efisiensi dan efektivitas operasi organisasi.
• Meningkatkan keandalan pelaporan keuangan.
• Mencegah dan mendeteksi penipuan dan kesalahan.

Sumber : (https://www.gramedia.com/literasi/pengendalian-internal/, https://www.kompasiana.com/aureolabeatriz/63af924e0788a30d3a4e3af2/sistem-pengendalian-internal-dan-hubungannya-dengan-ruang-lingkup-pemeriksaan, dan https://www.petrosea.com/wp-content/uploads/2020/02/IA-Charter-2020_Ind.pdf )