Disusun Oleh:
ERLANGGA BETA SAMODERA 2012200678
GINA HARVENTY
2012200682
M. RIDWAN MAMUN
2012200686
SUHAIMI
2012200693
ASPIATI A. SAMIUN
2012200700
2012200703
2012200704
Pengantar
Audit sebuah system teknologi informasi untuk saat ini adalah sebuah keharusan.
Audit perlu dilakukan agar sebuat system mampu memenuhi syarat IT Governance. Audit
system informasi adalah cara untuk melakukan pengujian terhadap system informasi yang
ada di dalam organisasi untuk mengetahui apakah system informasi yang dimiliki telah
sesuai dengan visi, misi dan tujuan organisasi, menguji performa system informasi dan
untuk mendeteksi resiko-resiko dan efek potensial yang mungkin timbul.
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai
melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula
bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer,
disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan
untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi
aktivitas persediaan, aktivitas nasabah, dan lain-lain.
Ada beberapa teknik audit untuk melakukan audit pada Teknologi Informasi. Auditor
dapat menggunakan tiga kategori berikut dalam menguji pengendalian, yaitu:
1. Teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT)
yang terdiri atas Auditing Around the Computer, dimana dengan teknik ini auditor
menguji reliability dari computer generated information dengan terlebih dahulu
menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam system, dan
kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika
terbukti akurat dan valid, maka diasumsikan bahwa system pengendalian berfungsi
seperti yang seharusnya. Kondisi ini cocok jika system aplikasi otomasi sederhana
dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan
software akuntansi yang bervariasi dan melakukan proses secara periodic.
2. Auditing With the Computer adalah auditing dengan pendekatan computer,
menggunakan teknik yang bervariasi yang biasa juga disebut Computer Assisted
Audit Technique (CAAT). Penggunaan CAAT telah meningkatkan secara dramatis
kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu
CAAT yang lazim dipakai adalah general audit software (GAS). GAS sering dipakai
untuk melakukan substantive test dan digunakan test of control yang terbatas. Sebagai
contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam
program computer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan
software ini.
3. Audit Through the Computer yang merupakan teknik focus pada testing tahapan
pemrosesan computerised, logic program, edit routines dan program controls.
Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan
dengan baik, dan memenuhi edit routines dan programme check yang memadai, maka
error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi.
STANDAR IT AUDIT
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar
yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga
menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Sekarang keahlian dalam
mengaudit IT juga memerlukan sertifikasi sendiri, yaitu CISA (Certified Information
System Audit). Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines
memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai
penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui
auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS
auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance
dan procedure. Standar yang aplicable untuk audit IT adalah terdiri dari 11 standar yaitu,
Audit charter, Audit Independent, Profesional Ethic and standard, S4.Profesional
competence, Planning, Performance of Audit Work, Reporting, Follow-Up Activity,
Irregularities and Irregular Act, IT Governance dan Use of Risk Assestment in Audit
Planning.
IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang
mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9
prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan
audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment,
mengetes intruction detection system, menganalisis firewall dan sebagainya. Jika
dibandingkan dengan audit keuangan, maka standar dari ISACA ini adalah setara dengan
Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit
dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian
berdasarkan standar tersendiri yaitu COBIT.
Langkah dasar Audit SI
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
komputer berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control
practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control
practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan
terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan
tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode
audit. Metodologi audit:
1.
2.
3.
Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit.
4.
5.
Audit procedures and steps for data gathering. Menentukan cara melakukan audit
untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
6.
7.
8.
Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahaptahap audit terdiri dari 5 tahap sebagai berikut :
1. Tahap pemeriksaan pendahuluan
2. Tahap pemeriksaan rinci.
3. Tahap pengujian kesesuaian.
4. Tahap pengujian kebenaran bukti.
5. Tahap penilaian secara umum atas hasil pengujian.
terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor
dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari
penugasan audit.
2. Tahap Pemeriksaan Rinci.
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam
untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor
harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan
sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan
dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi
dasar bagi auditor dalam menentukan langkah selanjutnya.
penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya
dalam laporan auditan.
Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang
diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang
diterapkan perusahaan, yang mencakup :
a. Pengendalian umum
b. Pengendalian aplikasi, yang terdiri dari :
(a) Pengendalian secara manual,
(b) Pengendalian terhadap output sistem informasi,
(c) Pengendalian yang sudah diprogram.
Pengendalian
A. Pemahaman Pengendalian UmumPengendalian umum pada perusahaan biasanya
dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal, terhadap aset-aset
fisik perusahaan, sedangkan aspek logikal biasanya terhadap sistem informasi di
level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan
menjadi beberapa, diantaranya adalah:
a. Pengendalian organisasi dan otorisasi.Yang dimaksud dengan organisasi
disini adalah secara umum terdapat pemisahan tugas dan jabatan antara
pengguna sistem (operasi) dan administrator sistem (operasi). Disini juga dapat
dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah
diotorisasi oleh administrator.
b. Pengendalian operasi.Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi
dengan baik selayaknya sesuai yang diharapkan.
c. Pengendalian perubahan.Perubahan-perubahan yang dilakukan terhadap
sistem informasi juga harus dikendalikan. Termasuk pengendalian versi dari
sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan
atas diimplementasikannya sebuah sistem informasi.
B. Pengendalian Aplikasi.
Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian
yang didesain oleh manajemen organisasi untuk meminimalkan resiko terhadap
aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan
baik.
C. Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif.
Artinya apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya
diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka
diasumsikan pengendalian aplikasinya juga baik.
Macam Aplikasi
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi
dua tipe dalam perusahaan untuk kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang
belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang
berdiri sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software)
MYOB pada fungsi akuntansi dan keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah
menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe
struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai
antar-muka (interface) untuk mengakses aplikasi pada server.
1.
2.
Input
Inti dari pengendalian input adalah memastikan data-data yang dimasukkan
ke dalam sistem telah tervalidasi, akurat, dan terverifikasi. Beberapa pengendalian
input otomatis yang biasa diprogram:
Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang
terhubungkan, contoh: penerimaan barang dengan tagihan
3.
Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan
transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara
maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada
berkas-berkas master.
Adapun tipe pengendalian proses adalah sebagai berikut:
1. Run to run control
2. Pivot totals
3. Control/Hash totals: non numerical control
4. Control accounts
5. Data file control: menghitung instan entitas
6. Transaction validation control
7. File reconciliation control
4.
Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun
manual (kasat mata) jika output yang dihasilkan juga kasat mata.
Beberapa tipe pengendalian output:
1. Ekspektansi output (logs)
2. Kelengkapan output (misal dengan no halaman)
3. Pengendalian atas spooled output
4. Reasonableness
5. Output rutin
6. Distribusi output
7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable
8. SQL output
5.
Master File/Database
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak
akan diketemukan anomali-anomali, seperti:
Anomaly penambahan
Anomaly penghapusan
Anomaly pemuktahiran/pembaruan
10
Untuk membantu auditor senior, partner atau pimpinan kantor akuntan dalam
mereview pekerjaan yang dihasilkan oleh stafnya.
Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta temuan-temuan
yang telah dilaporkan dalam laporan audit.
11
12
diatur baik dalam audit keuangan atau audit lainnya. Yang ada hanyalah
pertimbangan professional. Suatu kertas kerja yang baik setidak-tidaknya memiliki
beberapa standar, antara lain:
a. Lengkap, berisi informasi,
b. Akurat, berisi ketepatan dalam penyajian perhitungan,
c. Terjamin kerahasiaannya.
2. Kepentingan Kertas Kerja
Berdasarkan analisis atas kebutuhan untuk menjalankan fungsi pemeriksaan
sistem informasi, kedudukan kertas kerja sebagai salah satu sarana untuk
mempermudah identifikasi dalam proses audit memiliki tujuan utama, yakni:
membantu tugas-tugas auditor dalam fase penyelesaian yang memberikan keyakinan
yang memadai bahwa setiap unsur yang diaudit telah layak sesuai dengan standar
yang dikehendaki.
3. Prosedur Audit Berbasis Kertas Kerja
Penting untuk dipahami bahwa penggunaan kertas kerja, didasarkan atas
teknik pendekatan proses yang digunakan dalam penugasan audit Program kerja
audit sistem informasi berdasarkan obyek pemeriksaan, dapat diuraikan sebagai
berikut:
1. Pemeriksaan Atas Pengendalian Umum, meliputi:
a. Pemeriksaan pada akses fisik fasilitas computer perusahaan,
b. Pemeriksaan pada input program aplikasi akuntansi computer.
c. Pemeriksaan atas sumber data program aplikasi.
2. Pemeriksaan Atas Pengendalian Aplikasi, meliputi:
a. Pemeriksaan atas prosedur menjalankan program aplikasi.
b. Pemeriksaan atas proses transaksi.
c. Pemeriksaan atas file data.
4. Format Kertas Kerja Berkaitan dengan Pengembangan Sistem Informasi
Kertas kerja yang diuraikan disini merupakan suatu usulan yang
memberikan gambaran umum atas uraian penugasan audit yang dilakukan.
Secara umum ada, tiga jenis kertas kerja sistem informasi yang dapat diterapkan
untuk mendukung audit perusahaan berbasis pengolahan data elektronik, yaitu:
13
14
oleh klien.
d. Kondisi, menjelaskan sebab dan akibat serta aktifitas/kegiatan terkini.
e. Risiko, menjelaskan potensi dan dampak negatif terhadap hilangnya atau
tidak diterapkannya pengendalian.
f. Tanggapan manajemen, menjelaskan komentar dan tanggapan manajemen
terhadap permasalahan dan temuan yang telah disampaikan.
g. Rekomendasi, menjelaskan saran-saran perbaikan dan implementasi penge
pengendalian yang harus diterapkan dalam kegiatan/aktifitas klien.
dimana
terdapat
ketidaktaatan
terhadap
ketentuan,
auditor
harus
15
4. Best practices lainnya (ISACA Guidelines, CISA 2007, COSO, Sarbanes-Oxley Act,
SANS) Pelaksanaan audit dilakukan dengan
Cara yang dapat dilaksanakan adalah:
1. Penyampaian kuisioner
a. Kuisioner Pengendalian Sistem Informasi
b. Kuisioner I Analisis Pengelolaan Teknologi Informasi, Management
Awareness
c. Kuisioner II Analisis Pengelolaan Teknologi Informasi, Information
Technology Controls Diagnostic
2. Wawancara
3. Observasi
a. Major application
b. Infrastruktur pendukung data center: air conditioning, smoke detector, fire
extinguisher, hydrant, dll.
c. Sistem Operasi
d. Database
e. Internet, LAN, WAN
f. Perangkat Keras dan Lunak
g. Kebijakan dan Standard Operation Procedure
4. Studi kebijakan, prosedur, dan dokumentasi
5. Pengujian dengan menggunakan perangkat lunak
Salah satu referensi Control Objective for Information and related Technology
(COBIT):
1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)
Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat
lunak (software), sumber daya manusia, file/data dan fasilitas Teknologi
Informasi lainnya harus dijaga dengan sistem pengendalian internal yang baik
16
dengan
Teknologi
ketersediaan
Informasi
hendaknya
dukungan/layanan
dapat
teknologi
mendukung
secara
dasar
sistem
informasi.
Data
memiliki
atributatribut
seperti:
17
maka suatu entitas tidak akan lagi memiliki informasi/laporan yang benar,
bahkan entitas dapat menderita k kerugian karena pengawasan yang tidak tepat
atau keputusan-keputusan yang salah. Faktor utama yang membuat data
berharga bagi entitas dan pentingnya untuk menjaga integritas data adalah:
a. Makna
penting
data/informasi
bagi
pengambilan
keputusan
adalah
peningkatan kualitas data sehingga dapat memberikan inform asi bagi para
pengambil keputusan.
b. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing
maka kehilangan data akan memberikan dampak buruk bagi entitas. Pesaing
dapat menggunakan data tersebut untuk mengalahkan entitas saingannya
sehingga mengakibatkan entitas menjadi kehilangan pasar, berkurangnya
keuntungan, dan sebagainya.
8. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini,
baik itu di internal dan eksternal organisasi/entitas (Compliance)
Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar
entitas memberikan dampak positif dan bernilai tambah guna memberikan
keyakinan yang cukup bagi para pihak yang berkepentingan entitas khususnya
para regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak
meniadakan prinsip biayamanfaat dalam melakukan kegiatan usaha/bisnis
entitas khususnya kegiatan teknologi informasi.
DAFTAR PUSTAKA
Asmuni, Idris,2006, kertas kerja audit sistem informasi (sebuah gagasan baru dalam
standar profesional pemeriksaan dan pengembangan sistem informasi)
Darono, Agung, 2009, Penerapan Teknik Audit Berbantuan Komputer dalam Audit
Intern Pemerintah, Konferensi Nasional Sistem Informasi 2010, STMIK MDP
Palembang
http://10503116.blog.unikom.ac.id/it-audit-tools.hi (diakses 06 Juni 2013)
18
19