MAKALAH

INFORMATION TECNOLOGY AUDIT &

DIGITAL FORENSIK
PELAKSANAAN DAN PELAPORAN AUDIT

Disusun Oleh:
ERLANGGA BETA SAMODERA 2012200678
GINA HARVENTY

2012200682

M. RIDWAN MAMUN

2012200686

SUHAIMI

2012200693

ASPIATI A. SAMIUN

2012200700

DHIHAN ADHI WIJAYA

2012200703

DIAN DWI ASTUTIK

2012200704

PROGRAM PENDIDIKAN PROFESI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS BRAWIJAYA
2013

Pengantar
Audit sebuah system teknologi informasi untuk saat ini adalah sebuah keharusan.
Audit perlu dilakukan agar sebuat system mampu memenuhi syarat IT Governance. Audit
system informasi adalah cara untuk melakukan pengujian terhadap system informasi yang
ada di dalam organisasi untuk mengetahui apakah system informasi yang dimiliki telah
sesuai dengan visi, misi dan tujuan organisasi, menguji performa system informasi dan
untuk mendeteksi resiko-resiko dan efek potensial yang mungkin timbul.
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai
melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula
bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer,
disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan
untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi
aktivitas persediaan, aktivitas nasabah, dan lain-lain.
Ada beberapa teknik audit untuk melakukan audit pada Teknologi Informasi. Auditor
dapat menggunakan tiga kategori berikut dalam menguji pengendalian, yaitu:
1. Teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT)
yang terdiri atas Auditing Around the Computer, dimana dengan teknik ini auditor
menguji reliability dari computer generated information dengan terlebih dahulu
menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam system, dan
kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika
terbukti akurat dan valid, maka diasumsikan bahwa system pengendalian berfungsi
seperti yang seharusnya. Kondisi ini cocok jika system aplikasi otomasi sederhana
dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan
software akuntansi yang bervariasi dan melakukan proses secara periodic.
2. Auditing With the Computer adalah auditing dengan pendekatan computer,
menggunakan teknik yang bervariasi yang biasa juga disebut Computer Assisted
Audit Technique (CAAT). Penggunaan CAAT telah meningkatkan secara dramatis
kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu
CAAT yang lazim dipakai adalah general audit software (GAS). GAS sering dipakai
untuk melakukan substantive test dan digunakan test of control yang terbatas. Sebagai

contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam
program computer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan
software ini.
3. Audit Through the Computer yang merupakan teknik focus pada testing tahapan
pemrosesan computerised, logic program, edit routines dan program controls.
Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan
dengan baik, dan memenuhi edit routines dan programme check yang memadai, maka
error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi.
STANDAR IT AUDIT
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar
yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga
menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Sekarang keahlian dalam
mengaudit IT juga memerlukan sertifikasi sendiri, yaitu CISA (Certified Information
System Audit). Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines
memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai
penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui
auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS
auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance
dan procedure. Standar yang aplicable untuk audit IT adalah terdiri dari 11 standar yaitu,
Audit charter, Audit Independent, Profesional Ethic and standard, S4.Profesional
competence, Planning, Performance of Audit Work, Reporting, Follow-Up Activity,
Irregularities and Irregular Act, IT Governance dan Use of Risk Assestment in Audit
Planning.
IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang
mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9
prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan
audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment,
mengetes intruction detection system, menganalisis firewall dan sebagainya. Jika
dibandingkan dengan audit keuangan, maka standar dari ISACA ini adalah setara dengan

Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit
dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian
berdasarkan standar tersendiri yaitu COBIT.
Langkah dasar Audit SI
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
komputer berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control
practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control
practice.

Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan
terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan
tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode
audit. Metodologi audit:
1.

Audit subject. Menentukan apa yang akan diaudit.

2.

Audit objective. Menentukan tujuan dari audit.

3.

Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit.

4.

Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan,

menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit,
menentukan lokasi audit.

5.

Audit procedures and steps for data gathering. Menentukan cara melakukan audit
untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.

6.

Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.

7.

Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.

8.

Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit,

yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari
organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya
terdiri atas:
o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
o Kesimpulan umum dari auditor.
o Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol
layak atau tidak
o Rekomendasi. Tanggapan dari manajemen (bila perlu).
o Exit interview. Interview terakhir antara auditor dengan pihak manajemen
untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus
meyakinkan tim manajemen bahwa hasil audit sahih

Tahap-tahap Audit Sistem Informasi

Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahaptahap audit terdiri dari 5 tahap sebagai berikut :
1. Tahap pemeriksaan pendahuluan
2. Tahap pemeriksaan rinci.
3. Tahap pengujian kesesuaian.
4. Tahap pengujian kebenaran bukti.
5. Tahap penilaian secara umum atas hasil pengujian.

1. Tahap Pemeriksaan Pendahuluan.

Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan,
auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang
dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini
meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga
mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian

terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor
dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari
penugasan audit.
2. Tahap Pemeriksaan Rinci.
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam
untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor
harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan
sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan
dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi
dasar bagi auditor dalam menentukan langkah selanjutnya.

3. Tahap Pengujian Kesesuaian.

Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan
transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus
diambil menggunakan software CAATTs. Pendekatan basis data menggunakan
CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain,
CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan
data itu sendiri.
4. Tahap Pengujian Kebenaran Bukti.
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang
cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah :

a. Mengidentifikasi kesalahan dalam pemrosesan data

b. Menilai kualitas data
c. Mengidentifikasi ketidakkonsistenan data
d. Membandingkan data dengan perhitungan fisik
e. Konfirmasi data dengan sumber-sumber dari luar perusahaan.

5. Tahap Penilaian Secara Umum atas Hasil Pengujian.

Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah
bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil

penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya
dalam laporan auditan.
Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang
diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang
diterapkan perusahaan, yang mencakup :
a. Pengendalian umum
b. Pengendalian aplikasi, yang terdiri dari :
(a) Pengendalian secara manual,
(b) Pengendalian terhadap output sistem informasi,
(c) Pengendalian yang sudah diprogram.

Pengendalian
A. Pemahaman Pengendalian UmumPengendalian umum pada perusahaan biasanya
dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal, terhadap aset-aset
fisik perusahaan, sedangkan aspek logikal biasanya terhadap sistem informasi di
level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan
menjadi beberapa, diantaranya adalah:
a. Pengendalian organisasi dan otorisasi.Yang dimaksud dengan organisasi
disini adalah secara umum terdapat pemisahan tugas dan jabatan antara
pengguna sistem (operasi) dan administrator sistem (operasi). Disini juga dapat
dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah
diotorisasi oleh administrator.
b. Pengendalian operasi.Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi
dengan baik selayaknya sesuai yang diharapkan.
c. Pengendalian perubahan.Perubahan-perubahan yang dilakukan terhadap
sistem informasi juga harus dikendalikan. Termasuk pengendalian versi dari
sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan
atas diimplementasikannya sebuah sistem informasi.

d. Pengendalian akses fisikal dan logikal.

Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitasfasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan
dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal:
windows).

B. Pengendalian Aplikasi.
Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian
yang didesain oleh manajemen organisasi untuk meminimalkan resiko terhadap
aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan
baik.
C. Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif.
Artinya apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya
diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka
diasumsikan pengendalian aplikasinya juga baik.

Macam Aplikasi
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi
dua tipe dalam perusahaan untuk kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang
belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang
berdiri sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software)
MYOB pada fungsi akuntansi dan keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah
menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe
struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai
antar-muka (interface) untuk mengakses aplikasi pada server.

Macam Pengendalian Aplikasi

Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi beberapa
pengendalian:

1.

Pemahaman atas pengendalian informasi dan akses aplikasi

Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian
aplikasi: organisasi dan akses. Pada pengendalian organisasi, hampir sama dengan
pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan
perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga
pengembangan aplikasi tersebut.
Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian
logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat
pengendalian role based menu dibalik pengendalian akses logika, dimana hanya
pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh
administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan
berkaitan dengan nama pengguna dan sandi nya.

2.

Input
Inti dari pengendalian input adalah memastikan data-data yang dimasukkan
ke dalam sistem telah tervalidasi, akurat, dan terverifikasi. Beberapa pengendalian
input otomatis yang biasa diprogram:
Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang
terhubungkan, contoh: penerimaan barang dengan tagihan

3.

Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan
transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara
maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada
berkas-berkas master.
Adapun tipe pengendalian proses adalah sebagai berikut:
1. Run to run control
2. Pivot totals
3. Control/Hash totals: non numerical control
4. Control accounts
5. Data file control: menghitung instan entitas
6. Transaction validation control
7. File reconciliation control

4.

Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun
manual (kasat mata) jika output yang dihasilkan juga kasat mata.
Beberapa tipe pengendalian output:
1. Ekspektansi output (logs)
2. Kelengkapan output (misal dengan no halaman)
3. Pengendalian atas spooled output
4. Reasonableness
5. Output rutin
6. Distribusi output
7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable
8. SQL output

5.

Master File/Database
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak
akan diketemukan anomali-anomali, seperti:

Anomaly penambahan

Anomaly penghapusan

Anomaly pemuktahiran/pembaruan

10

PENGENALAN KERTAS KERJA

Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang
diterapkan, pelaksanaan pengujian dan bukti yang diperoleh serta kesimpulan yang
diperoleh selama audit. Kertas kerja merupakan pendukung utama laporan audit, alat
koordinasi dan supervisi, bukti bahwa auditor telah melakukan audit sesuai dengan
standar auditing yang Berterima umum.

Tujuan Kertas Kerja:

Untuk mendokumentasikan semua bukti audit yang diperoleh selama pelaksanaan

audit.

Untuk mengorganisasikan/mengkoordinasikan semua tahap atau langkah-langkah

audit.

Untuk membantu auditor senior, partner atau pimpinan kantor akuntan dalam
mereview pekerjaan yang dihasilkan oleh stafnya.

Untuk mempermudah atau sebagai dasar penyusunan laporan audit

Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta temuan-temuan
yang telah dilaporkan dalam laporan audit.

Pedoman Pembuatan Kertas Kerja

Setiap kertas kerja harus bertujuan
Setiap topik dibuatkan kertas kerja sendiri
Indentitas (judul) yang jelas
Diberi indeks atau indeks silang
Semua langkah (prosedur audit) harus dijelaskan
Berisi komentar auditor yang mencerminkan kesimpulan
Ada paraf dan tanggal pembuatan/evaluasi
Penyimpanan terpisah antara yang sudah selesai dengan yang belum selesai

Jenis Kertas Kerja

Kertas kerja neraca saldo
Jadwal dan analisis

11

 Memo audit dan informasi pendukung

Jurnal penyesuaian dan pengklasifikasian kembali

Fungsi Kertas Kerja

Pendukung pendapat auditor.
Membantu dalam pengarahan dan pengawasan pekerjaan.
Penyediaan catatan tentang:
1. Prosedur audit yang dilakukan.
2. Pengujian yang dilakukan
3. Informasi yang diperoleh.
4. Kesimpulan yang dicapai.
Menyediakan bukti bahwa audit telah diarahkan menurut Standar Profesional Audit
Internal

Kelengkapan Kertas Kerja

Kertas kerja harus akurat dan lengkap
1. Tidak ada pertanyaan signifikan dalam lingkup atau yang berhubungan dengan
tujuan audit yang tidak dapat terjawab.
2. Kertas kerja harus berdiri sendiri, dalam hal ini harus dinyatakan secara jelas
bahwa pekerjaan telah dilaksanakan, bagaimana dan dari mana sampel dipilih,
tujuan kertas kerja, temuan apa saja yang telah dibuat, dan lain-lain.

Kerangka Kerja Audit Sistem Informasi

Audit sistem informasi dapat diuraikan dalam beberapa tahapan berdasarkan
kerangka pikir manajemen, teknologi informasi dan pertimbangan sistem ahli yang
semuanya mengacu pada kerangka kerja menghasilkan laporan audit sistem informasi.
Perencanaan Kertas Kerja
1. Standar Kertas Kerja
Kertas kerja merupakan pertimbangan yang memuaskan sebagai sarana
untuk mempersiapkan diri pada sistem informasi yang diaudit dengan sebaikbaiknya. Sampai sejauh ini, belum ada ketetapan mengenai standar kertas kerja yang

12

diatur baik dalam audit keuangan atau audit lainnya. Yang ada hanyalah
pertimbangan professional. Suatu kertas kerja yang baik setidak-tidaknya memiliki
beberapa standar, antara lain:
a. Lengkap, berisi informasi,
b. Akurat, berisi ketepatan dalam penyajian perhitungan,
c. Terjamin kerahasiaannya.
2. Kepentingan Kertas Kerja
Berdasarkan analisis atas kebutuhan untuk menjalankan fungsi pemeriksaan
sistem informasi, kedudukan kertas kerja sebagai salah satu sarana untuk
mempermudah identifikasi dalam proses audit memiliki tujuan utama, yakni:
membantu tugas-tugas auditor dalam fase penyelesaian yang memberikan keyakinan
yang memadai bahwa setiap unsur yang diaudit telah layak sesuai dengan standar
yang dikehendaki.
3. Prosedur Audit Berbasis Kertas Kerja
Penting untuk dipahami bahwa penggunaan kertas kerja, didasarkan atas
teknik pendekatan proses yang digunakan dalam penugasan audit Program kerja
audit sistem informasi berdasarkan obyek pemeriksaan, dapat diuraikan sebagai
berikut:
1. Pemeriksaan Atas Pengendalian Umum, meliputi:
a. Pemeriksaan pada akses fisik fasilitas computer perusahaan,
b. Pemeriksaan pada input program aplikasi akuntansi computer.
c. Pemeriksaan atas sumber data program aplikasi.
2. Pemeriksaan Atas Pengendalian Aplikasi, meliputi:
a. Pemeriksaan atas prosedur menjalankan program aplikasi.
b. Pemeriksaan atas proses transaksi.
c. Pemeriksaan atas file data.
4. Format Kertas Kerja Berkaitan dengan Pengembangan Sistem Informasi
Kertas kerja yang diuraikan disini merupakan suatu usulan yang
memberikan gambaran umum atas uraian penugasan audit yang dilakukan.
Secara umum ada, tiga jenis kertas kerja sistem informasi yang dapat diterapkan
untuk mendukung audit perusahaan berbasis pengolahan data elektronik, yaitu:

13

a. Kertas kerja analisis sistem informasi: mencatat identifikasi permasalahan dan

penjabaran blok sistem informasi serta titik focus yang perlu mendapat perhatian
khusus,
b. Kertas kerja program pemeriksaan: mencatat kegiatan dalam objek pemeriksaan,
baik pengendalian umum administrative maupun pengendalian aplikasi;
c. Kertas Kerja Evaluasi: mencatat hasil yang diperoleh berdasarkan temuantemuan atau fakta mengenai kegiatan sistem informasi klien.

Prinsip Laporan Audit

Hasil Laporan audit merupakan media yang dipakai oleh auditor dalam
berkomunikasi dengan klien. Laporan audit berupa komunikasi dan ekspresi auditor
terhadap objek yang diaudit agar laporan atau ekspresi auditor tadi dapat dimengerti
maka laporan itu harus mampu dipahami oleh penggunanya. Laporan audit seharusnya
merupakan alat komunikasi yang efektif dan mempunyai dampak psikologis (positif
maupun negatif) bagi auditor maupun auditee, terutama individu yang terlibat. Jika suatu
rekomendasi tidak ditindaklanjuti oleh auditee atau pihak lain yang terkait, maka hal
tersebut berarti komunikasi tertulis yang dilakukan oleh auditor tidak efektif

Laporan audit TI ini terdiri dari:

1. Maksud dan tujuan dari review pengendalian terhadap penerapan TI di klien.
2. Ruang lingkup dan referensi pengendalian yang digunakan sebagai bahan
acuan penilaian pengendalian TI yang diterapkan dalam klien.
3. Metodologi review merupakan langkah-langkah audit dan teknik pemerolehan
informasi untuk mendukung laporan review.

4. Pernyataan penjelasan hasil review:

a. Permasalahan, menjelaskan pokok masalah yang saat ini dihadapi oleh
klien.
b. Temuan, menjelaskan bukti audit untuk mendukung kesimpulan masalah.
c. Kriteria/standar, menjelaskan pengendalian yang seharusnya diterapkan

14

oleh klien.
d. Kondisi, menjelaskan sebab dan akibat serta aktifitas/kegiatan terkini.
e. Risiko, menjelaskan potensi dan dampak negatif terhadap hilangnya atau
tidak diterapkannya pengendalian.
f. Tanggapan manajemen, menjelaskan komentar dan tanggapan manajemen
terhadap permasalahan dan temuan yang telah disampaikan.
g. Rekomendasi, menjelaskan saran-saran perbaikan dan implementasi penge
pengendalian yang harus diterapkan dalam kegiatan/aktifitas klien.

Pentingnya suatu temuan dan rekomendasi bagi pembaca sebagian besar

tergantung dari lingkup penerapannya serta konsekuensi-konsekuensi praktis darinya
(baik yang telah atau mungkin akan terjadi). Karena itu penting bagi auditor untuk
mengetengahkan keuntungankeuntungan praktis dari rekomendasinya dan merancang
rekomendasi itu sedemikian rupa sehingga diperoleh manfaat sebesar mungkin. Dalam
kasus

dimana

terdapat

ketidaktaatan

terhadap

ketentuan,

auditor

harus

merekomendasikan tindakan khusus guna memperbaiki situasi dan bukan hanya

merekomendasikan agar ketentuan yang bersangkutan ditaati. Dalam menyusun
konsep rekomendasi auditor harus dengan seksama mempertimbangkan biaya untuk
melaksanakan rekomendasi dibandingkan dengan manfaat/ keuntungan yang dapat
diperoleh. Sejauh mungkin laporan hasil audit harus menyertakan informasi yang
menunjukkan bahwa rekomendasi tersebut dapat dipertanggungjawabkan dari segi
biaya. Sedapat mungkin rekomendasi ditempatkan segera setelah temuan yang
bertalian dengannya.

Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based approach

dengan mengacu pada:
1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65
2. COBIT
3. ISO

15

4. Best practices lainnya (ISACA Guidelines, CISA 2007, COSO, Sarbanes-Oxley Act,
SANS) Pelaksanaan audit dilakukan dengan
Cara yang dapat dilaksanakan adalah:
1. Penyampaian kuisioner
a. Kuisioner Pengendalian Sistem Informasi
b. Kuisioner I Analisis Pengelolaan Teknologi Informasi, Management
Awareness
c. Kuisioner II Analisis Pengelolaan Teknologi Informasi, Information
Technology Controls Diagnostic
2. Wawancara
3. Observasi
a. Major application
b. Infrastruktur pendukung data center: air conditioning, smoke detector, fire
extinguisher, hydrant, dll.
c. Sistem Operasi
d. Database
e. Internet, LAN, WAN
f. Perangkat Keras dan Lunak
g. Kebijakan dan Standard Operation Procedure
4. Studi kebijakan, prosedur, dan dokumentasi
5. Pengujian dengan menggunakan perangkat lunak

Salah satu referensi Control Objective for Information and related Technology
(COBIT):
1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)
Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat
lunak (software), sumber daya manusia, file/data dan fasilitas Teknologi
Informasi lainnya harus dijaga dengan sistem pengendalian internal yang baik

16

agar tidak terjadi misefisiensi, mis-efektifitas, dan penyalahgunaan aset

entitas. Dengan demikian sistem pengamanan aset sistem informasi merupakan
suatu hal yang sangat penting yang harus dipenuhi oleh entitas.
2. Efektifitas system
Efektifitas sistem informasi entitas memiliki peranan penting dalam
proses pengambilan keputusan usaha/bisnis. Suatu sistem informasi dapa t
dikatakan efektifbila sistem informasi memberikan manfaat dan ketepatgunaan
teknologi informasi dalam operasi dan administrasi.
3. Efisiensi system
Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang
dimiliki oleh entitas terbatas. Jika cara kerja dari sistem aplikasi komputer
menurun maka pihak manajemen, dalam hal ini mewakili entitas, harus
mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah
sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi
dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
4. Memberikan dan mengelola ketersediaan layanan sistem informasi
(Availability)
Berhubungan
informasi.

dengan

Teknologi

ketersediaan

Informasi

hendaknya

dukungan/layanan
dapat

teknologi

mendukung

secara

berkelanjutan terhadap proses usaha/bisnis entitas. Makin sering terjadi

gangguan (system downtime) maka berarti tingkat ketersediaan sistem rendah.
5. Menjaga kerahasiaan (Confidentiality)
Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan
supaya terlindung dari akses dari pihak-pihak yang tidak berwenang dan
bertanggungjawab.
6. Meningkatkan kehandalan (Reability)
Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam
pengelolaan organ isasi, pelaporan dan pertanggungjawaban.
7. Menjaga integritas data (Data Integrity) Integritas data adalah salah satu
konsep

dasar

sistem

informasi.

Data

memiliki

atributatribut

seperti:

kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara,

17

maka suatu entitas tidak akan lagi memiliki informasi/laporan yang benar,
bahkan entitas dapat menderita k kerugian karena pengawasan yang tidak tepat
atau keputusan-keputusan yang salah. Faktor utama yang membuat data
berharga bagi entitas dan pentingnya untuk menjaga integritas data adalah:
a. Makna

penting

data/informasi

bagi

pengambilan

keputusan

adalah

peningkatan kualitas data sehingga dapat memberikan inform asi bagi para
pengambil keputusan.
b. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing
maka kehilangan data akan memberikan dampak buruk bagi entitas. Pesaing
dapat menggunakan data tersebut untuk mengalahkan entitas saingannya
sehingga mengakibatkan entitas menjadi kehilangan pasar, berkurangnya
keuntungan, dan sebagainya.
8. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini,
baik itu di internal dan eksternal organisasi/entitas (Compliance)
Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar
entitas memberikan dampak positif dan bernilai tambah guna memberikan
keyakinan yang cukup bagi para pihak yang berkepentingan entitas khususnya
para regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak
meniadakan prinsip biayamanfaat dalam melakukan kegiatan usaha/bisnis
entitas khususnya kegiatan teknologi informasi.

DAFTAR PUSTAKA
Asmuni, Idris,2006, kertas kerja audit sistem informasi (sebuah gagasan baru dalam
standar profesional pemeriksaan dan pengembangan sistem informasi)
Darono, Agung, 2009, Penerapan Teknik Audit Berbantuan Komputer dalam Audit
Intern Pemerintah, Konferensi Nasional Sistem Informasi 2010, STMIK MDP
Palembang
http://10503116.blog.unikom.ac.id/it-audit-tools.hi (diakses 06 Juni 2013)

18

http://aditpato7.wordpress.com/2012/05/01/it-audit/ (diakses 06 Juni 2013)

http://elmolya.blogspot.com/2011/03/it-audit-dan-forensik-audit-merupakan.html(diakses
06 Juni 2013)
http://highpecundang.blogspot.com/2011/03/it-audit-dan-it-forensic.html(diakses 06 Juni
2013)
http://intersystem.biz/index2.php?option=com_content&do_pdf=1&id=353(diakses 06
Juni 2013)
http://uzi-online.blogspot.com/2013/03/laporan-it-audit-ilab-gunadarma.html (diakses 06
Juni 2013)

19