Pengaruh Perkembangan IT terhadap

Proses Audit
2.1 Tekhnologi Informasi
2.1.1

Pengertian Tekhnologi Informasi

Teknologi Informasi adalah istilah umum yang menjelaskan teknologi apa pun yang

membantu manusia dalam membuat, mengubah, menyimpan, mengomunikasikan dan/atau

menyebarkan informasi.
Teknologi informasi (Information Technology) biasa disingkat TI, IT
atau infotech.

Dalam Oxford

English

Dictionary (OED2)

edisi

ke-2

mendefenisikan teknologi informasi adalah hardware dan software, dan bisa

termasuk

di

dalamnya jaringan

dan

telekomunikasi yang

biasanya

dalam

konteks bisnis atau usaha. Menurut Haag dan Keen (1996), Teknologi informasi
adalah seperangkat alat yang membantu anda bekerja dengan informasi dan
melakukan tugas-tugas yang berhubungan dengan pemrosesan informasi. Menurut
Martin (1999), Teknologi informasi tidak hanya terbatas pada teknologi
komputer (perangkat keras dan perangkat lunak) yang akan digunakan untuk
memproses dan menyimpan informasi, melainkan juga mencakup teknologi
komunikasiuntuk mengirim/menyebarkan informasi. Sementara Williams dan
Sawyer (2003), mengungkapkan bahwa teknologi informasi adalah teknologi yang
menggabungkan komputasi (komputer) dengan jalur komunikasi kecepatan tinggi
yang membawa data, suara, dan video.
Dari defenisi di atas, nampak bahwa teknologi informasi tidak hanya
terbatas

pada

teknologi

komputer,

tetapi

juga

termasuk teknologi

telekomunikasi. Dengan kata lain bahwa teknologi informasi merupakan hasil

konvergensi antara teknologi komputer dan teknologi telekomunikasi.
Teknologi Informasi dan Komunikasi mencakup dua aspek, yaitu Teknologi Informasi
dan Teknologi Komunikasi. Teknologi Informasi, meliputi segala hal yang berkaitan dengan
proses, penggunaan sebagai alat bantu, manipulasi, dan pengelolaan informasi. Sedangkan

Teknologi Komunikasi merupakan segala hal yang berkaitan dengan penggunaan alat bantu
untuk memproses dan mentransfer data dari perangkat yang satu ke lainnya.
Oleh karena itu, Teknologi Informasi dan Teknologi Komunikasi adalah suatu
padanan yang tidak terpisahkan yang mengandung pengertian luas tentang segala kegiatan
yang terkait dengan pemrosesan, manipulasi, pengelolaan, dan transfer/pemindahan informasi
antar media.
Secara khusus, tujuan mempelajari Teknologi Informasi dan Komunikasi adalah:
1. Menyadarkan kita akan potensi perkembangan teknologi informasi dan komunikasi yang
terus berubah sehingga termotivasi untuk mengevaluasi dan mempelajari teknologi ini
sebagai dasar untuk belajar sepanjang hayat.
2. Memotivasi kemampuan kita agar bisa beradaptasi dan mengantisipasi perkembangan TIK,
sehingga bisa melaksanakan dan menjalani aktifitas kehidupan sehari hari secara mandiri dan
lebih percaya diri.
3. Mengembangkan kompetensi kita dalam menggunakan Teknologi Informasi dan Komunikasi
untuk mendukung kegiatan belajar, bekerja, dan berbagai aktifitas dalam kehidupan seharihari.
4. Mengembangkan kemampuan belajar berbasis TIK, sehingga proses pembelajaran dapat
lebih optimal, menarik, dan mendorong kita lebih terampil dalam berkomunikasi, terampil
mengorganisasi informasi, dan terbiasa bekerjasama.
5. Mengembangkan kemampuan belajar mandiri, berinisiatif, inovatif, kreatif, dan bertanggung
jawab dalam penggunaan Teknologi Informasi dan Komunikasi untuk pembelajaran, bekerja,
dan pemecahan masalah sehari-hari.
Pengertian teknologi secara umum

Proses yang meningkatkan nilai tambah.

Produk yang digunakan dan dihasilkan untuk memudahkan dan meningkatkan kinerja.

Struktur atau sistem di mana proses dan produk itu dikembamngkan dan digunakan.
Kemajuan teknologi adalah sesuatu yang tidak bisa kita hindari dalam kehidupan ini,
karena kemajuan teknologi akan berjalan sesuai dengan kemajuanm ilmu pengetahuan. Setiap
inovasi diciptakan untuk memberikan manfaat positif bagi kehidupan manusia. Memberikan

banyak kemudahan, serta sebagai cara baru dalam melakukan aktifitas manusia. Khusus
dalam bidang teknologi masyarakat sudah menikmati banyak manfaat yang dibawa oleh
inovasi-inovasi yang telah dihasilkan dalam dekade terakhir ini. Namun demikian, walaupun
pada awalnya diciptakan untuk menghasilkan manfaat positif, di sisi lain juga memungkinkan
digunakan untuk hal negatif.
Teknologi merupakan keseluruhan cara yang secara rasional mengarah pada ciri
efisiensi dalam setiap kegiatan manusia. Perkembangan teknologi terjadi bila seseorang
menggunakan alat dan akalnya untuk menyelesaikan setiap masalah yang dihadapinya.
2.1.2

Perkembangan Tekhnologi
Teknologi Informasi merupakan teknologi yang dibangun dengan basis utama

teknologi komputer. Perkembangan teknologi komputer yang terus berlanjut membawa

implikasi utama teknologi ini pada proses pengolahan data yang berujung pada informasi.
Hasil keluaran dari teknologi komputer yang merupakan komponen yang lebih berguna dari
sekedar tumpukan data, membuat teknologi komputer dan teknologi pendukung proses
operasinya mendapat julukan baru, yaitu teknologi informasi.
Teknologi informasi disusun oleh tiga matra utama teknologi yaitu :
1. Teknologi komputer, yang menjadi pendorong utama perkembangan teknologi informasi.
2. Teknologi telekomunikasi, yang menjadi inti proses penyebaran informasi.
3. Muatan informasi atau content informasi, yang menjadi faktor pendorong utama
implementasi teknologi informasi.
2.1.3

Dampak Tekhnologi Informasi

Teknologi informasi dan komunikasi (TIK) adalah pendukung utama bagi

terselenggaranya globalisasi. Perkembangan teknologi informasi yang begitu pesat memang

memberikan kesempatan bagi semua orang untuk mengakses secara real-time informasi
terkini yang terjadi di belahan dunia manapun dan tidak ada batasan sama sekali
(borderless). Dengan dukungan teknologi informasi dan komunikasi, informasi dalam bentuk
apapun dan untuk berbagai kepentingan, dapat disebarluaskan dengan mudah sehingga dapat
dengan cepat mempengaruhi cara pandang dan gaya hidup hingga budaya suatu bangsa.

Semakin canggih dukungan teknologi tersebut, semakin besar pula arus informasi dapat
dialirkan dengan jangkauan dan dampak global.
Di sisi yang lain ternyata perkembangan IT dapat berbahaya karena dikhawatirkan
dengan begitu kencangnya aliran informasi tersebut dapat menyebabkan jati diri dan budaya
bangsa ikut luluh lantak terbawa arus. Semakin menipisnya nilai-nilai budaya lokal akibat
pengaruh globalisasi. Contohnya, berapa banyak koleksi lagu-lagu lokal/daerah yang kita
punya?
Perkembangan iptek, terutama teknologi informasi (information technology) seperti
internet sangat menunjang setiap orang mencapai tujuan hidupnya dalam waktu singkat,
baik legal maupun illegal dengan menghalalkan segala cara karena ingin memperoleh
keuntungan secara singkat. Dampak buruk dari perkembangan dunia maya ini tidak dapat
dihindarkan dalam kehidupan masyarakat modern saat ini dan masa depan. Berkembangnya
teknologi informasi menimbulkan pula sisi rawan yang gelap sampai tahap mencemaskan
dengan kekhawatiran pada perkembangan tindak pidana di bidang teknologi informasi yang
berhubungan dengan cybercrime atau kejahatan mayantara.
Jika kita melihat tayangan di TV mengenai informasi atau film tentang kriminalitas
dengan modus yang canggih maka ini sebenarnya merupakan inspirasi bagi pelaku kejahatan
lainnya. Proses meniru tayangan kriminalitas ini yang dikenali sebagai modeling perilaku
kejahatan. Apalagi kalau kita mencermati modus operasi kejahatan di dunia maya (internet)
yang sedang marak maka seolah-olah mudah sekali melakukan kejahatan yang dibantu
dengan media komunikasi berteknologi tinggi. Masih ingat kasus penipuan melalui e-mail,
HP dan chatting?

2.2 Audit Sistem Informasi Komputerisasi Akuntansi

2.2.1

Audit
Pengertian Audit menurut Arens, et al. (2003) yang diterjemahkan oleh Kanto

Santoso, Setiawan dan Tumbur Pasaribu:

Audit adalah proses pengumpulan dan pengevaluasian bukti-bukti tentang informasi
ekonomi untuk menentukan tingkat kesesuaian informasi ekonomi tersebut dengan
kriteriakriteria yang telah ditetapkan, dan melaporkan hasil pemeriksaan tersebut.

2.2.2

Sistem Informasi

Definisi sistem informasi menurut Ali Masjono Mukhtar, adalah:

Suatu pengorganisasian peralatan untuk mengumpulkan, menginput, memproses,
menyimpan, mengatur, mengontrol, dan melaporkan informasi untuk pencapaian tujuan
perusahaan.
2.2.3

Komputerisasi
Definisi komputerisasi yang berasal dari kata komputer (Computer) diambil dari

bahasa latin Computare yang berarti menghitung (to compute atau reckon). Komputer
adalah sistem elektronik untuk memanipulasi data yang cepat dan tepat serta dirancang dan
diorganisasikan supaya secara otomatis menerima dan menyimpan data input, memprosesnya,
dan menghasilkan output di bawah pengawasan suatu langkah-langkah instruksi-instruksi
program yang tersimpan dimemori (stored program). Komputerisasi merupakan aktivitas
yang berbasis pada komputer (Computer Based System).
2.2.4

Akuntansi
Definisi akuntansi (Accounting) menurut (Jerry J. Weygandt, Donald E. Kieso, Paul

D. Kimmel, 1999) : akuntansi adalah suatu proses untuk tiga kegiatan yaitu :
mengidentifikasi, mencatat, dan komunikasi kejadian ekonomi pada sebuah organisasi baik
binsis ataupun non bisnis.
2.2.5

Audit Sistem Informasi Komputerisasi Akuntansi

Karakteristik sistem informasi komputerisasi akuntansi terdiri dari:

1. Akuntansi yang berbasis pada sistem informasi komputerisasi akuntansi dapat menghasilkan
buku besar yang berfungsi sebagai gudang data (data warehouse). Di mana seluruh data yang
tercantum dalam dokumen sumber dicatat dengan transaction processing software ke dalam
general ledger yang diselenggarakan dalam bentuk shared data base sehingga dapat diakses
oleh personel atau pihak luar yang diberi wewenang.
2. Pemakai informasi akuntansi dapat memanfaatkan informasi akuntansi dengan akses secara
langsung ke shared data base.
3. Sistem informasi komputerisasi akuntansi dapat menghasilkan informasi dan laporan
keuangan multi dimensi.

4. Sistem informasi komputerisasi akuntansi sangat mengandalkan pada berfungsinya

kapabilitas perangkat keras dan perangkat lunak.
5. Jejak audit pada sistem informasi komputerisasi akuntansi menjadi tidak terlihat dan rentan
terhadap akses tanpa izin.
6.

Sistem informasi komputerisasi akuntansi dapat mengurangi keterlibatan manusia, menuntut

pengintegrasian fungsi, serta menghilangkan sistem otorisasi tradisional.

7. Sistem informasi komputerisasi akuntansi mengubah kekeliruan yang bersifat acak ke

kekeliruan yang bersistem namun juga dapat menimbulkan risiko kehilangan data.
8. Sistem informasi komputerisasi akuntansi menuntut pekerja pengetahuan (knowledge
worker) dalam pekerjaannya.
Tujuan audit sistem informasi komputerisasi akuntansi adalah untuk mereview dan
mengevaluasi pengawasan internal yang digunakan untuk menjaga keamanan dan memeriksa
tingkat kepercayaan sistem informasi serta mereview operasional sistem aplikasi akuntansi
yang digunakan.
Berdasarkan karakteristik sistem informasi komputerisasi akuntansi dan tujuan audit
sistem informasi komputerisasi akuntansi maka ruang lingkup audit sistem informasi
komputerisasi akuntansi pada sebuah organisasi adalah untuk perbaikan pengamanan asset,
perbaikan integritas data, perbaikan efektivitas sistem, dan perbaikan efisiensi system.
2.2.6

Teknhnologi Informasi pada Pengolahan Transaksi

Salah satu bagian dari masalah tata kelola TI difokuskan pada proses pengendalian

risiko IT. Hal ini penting dalam perusahaan karena manajemen menggunakan IT untuk
memproses data mengenai transaksi yang sedang berlangsung atau terjadi. Entitas bisnis dan
organisasi lainnya terlibat dan dipengaruhi oleh banyak kegiatan. Seperti jika suatu peristiwa
terjadi, sistem informasi mengumpulkan data mengenai peristiwa tersebut. Misalnya, ketika
pelanggan membeli suatu produk, sistem informasi mengumpulkan data mengenai produk,
pelanggan, tenaga penjual, kuantitas, dan sebagainya. Akhirnya data-data berubah menjadi
informasi, mungkin dalam bentuk laporan keuangan. Sistem Informasi dalam sebuah
organisasi terlibat dalam suatu proses terus-menerus, mengumpulkan data tentang transaksi

dan mengubahnya menjadi informasi, yang kemudian dilaporkan ke berbagai pemangku

kepentingan.
Sebuah sistem informasi yang terkomputerisasi untuk proses transaksi mungkin dapat
meningkatkan sedikit risiko dan menurunkan beberapa resiko lainnya. Misalnya dalam
proses penjualan. Seorang pegawai penjualan yang mencatat secara manual data penjualan
dapat membuat suatu kesalahan dalam proses pencatatan data, mungkin dalam memasukkan
kode persediaan. Di sisi lain, sebuah sistem komputer yang memindai kode bar persediaan
tidak akan membuat kesalahan itu. Ini adalah contoh di mana penggunaan TI dapat
mengurangi risiko. Namun, jika administrator database dengan sengaja membuat kesalahan
pencatatan item dan nomor item, maka setiap penjualan yang item persediaan didata akan
salah. Penggunaan TI dapat mengurangi risiko akibat kesalahan manusia.
2.2.7

Tekhnologi Informasi pada Audit

Auditor IT memastikan tata kelola IT. Disamping itu Auditor IT juga dapat menilai

risiko dan melaksanakan atau memantau kontrol atas risiko tersebut. Peran auditor IT
bervariasi sesuai dengan posisi mereka di dalam atau di luar organisasi dan dengan proyek
individu tertentu. Tingkat keahlian yang diperlukan untuk juga bervariasi dari yang sangat
teknis hingga yang memerlukan keterampilan komunikasi yang baik.
Auditor TI bekerja baik sebagai auditor internal atau eksternal. Auditor tersebut
kemungkinan akan menilai risiko dan kontrol TI. Kadang-kadang hal ini dilakukan sebagai
pendukung untuk pekerjaan audit keuangan, dan pada waktu lain tujuan evaluasi risiko dan
kontrol TI dilakukan untuk kepentingan diri sendiri. Pada dasarnya auditor TI dapat
memberikan jaminan atau memberikan kenyamanan atas apa saja yang berhubungan dengan
sistem informasi. Disamping itu, terdapat beberapa jenis pekerjaan yang dapat dilakukan oleh
auditor IT termasuk:
-

Mengevaluasi dan mengontrol aplikasi khusus. Misalnya aplikasi seperti e-bisnis,

perencanaan sumber daya perusahaan (ERP system), atau perangkat lunak lain.

Memberikan jaminan atas proses tertentu. Hal ini mungkin berupa prosedur audit yang
disepakati di mana klien dan auditor IT menentukan cakupan jaminannya.

Memberikan jaminan kepada pihak ketiga. Auditor IT seringkali harus mengevaluasi risiko
dan kontrol atas sistem informasi pihak ketiga dan memberikan jaminan kepada orang lain.

Pengujian akan adanya resiko pembobolan data. Hal ini melibatkan proses untuk mencoba
mendapatkan akses ke sumber daya informasi untuk menemukan kelemahan dari sistem
keamanan.

Pendukung audit keuangan. Hal ini mencakup evaluasi mengenai resiko dan control IT yang
dapat mempengaruhi keandalan sistem pelaporan keuangan.

Menyelidiki penipuan berbasis IT. IT auditor bisa dipanggil untuk membantu investigasi
dalam penyelidikan penipuan

2.2.8

Proses Audit
Audit adalah Suatu pemeriksaan yang dilakukan secara kritis dan sistematis oleh

pihak yang independen, terhadap laporan keuangan yang telah disusun oleh manajemen
beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat
memberikan pendapat mengenai kewajaran laporan keuangan tersebut.
Audit adalah Suatu proses pengumpulan dan pengevaluasian bahan bukti tentang
informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang
kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi
dengan kriteria- kriteria yang telah ditetapkan. Auditing seharusnya dilakukan oleh seorang
yang independen dan kompeten.
Proses Audit dapat di artikan sebagai aktifitas mengolah masukan (input) menjadi
keluaran (output) yang berguna/memiliki nilai tambah (value added). Demikian jugan dengan
proses audit, dapat dipandang sebagai aktifitas pengumpulan dan evaluasi bukti-bukti yang
mendukung informasi/laporan yang disajikan auditee, untuk meningkatkan keyakinan
(assurance) bagi pemakainya, bahwa laporan tersebut dapat dipakai sebagai dasar untuk
pengambilan keputusan.

Input

Proses

Informasi/laporan dari audit Evaluasi

Output
kesesuaian

dan Laporan

hasil

audit

dan

dan

bukti-bukti

yang informasi

mendukung

pendukung

criteria pendukungnya

dan memperkuat keyakinan user

dalam pengambilan keputusan

Proses audit diatas cenderung mengacu pada pengertian audit keuangan, yang
bertujuan untuk menilai layak dipercaya atau tidaknya laporan keuangan yang disajikan
auditee. Namun secara konseptual, pengertian proses audit tersebut berlaku pula untuk audit
kepatuhan dan audit operasional, karena walaupun memiliki tujuan berbeda, sebelum
melakukan analisis lebih lanjut, pada awalnya auditor perlu memastikan lebih dahulu
kebenaran nilai populasi yang terkait dengan kegiatan yang diaudit, seperti banyaknya daya
digunakan dan hasil yang diperoleh. Setelah itu barulah dilakukanevaluasi lebih lanjut sesuai
tujuan audit, misalnya:
-

Pada pemeriksaan ketaatan atas ketentuan pengadaan barang dan jasa,kegiatan audit dimulai
dengan pengumpulan data mengenai frekuensi,volume dan nilai pengadaan yang akan diuji.
Setelah itu barulah dilakukan pengujian mengenai ketaatan procedure pengadaan tersebut
terhadap peraturan perundang-undangan yang berlaku. Pada pemeriksaan opersaional
pemberian salah satu jenis perizinan , auditor terlebih dahulu mengumpulkan informasi
mengenai volume dan nilai retribusi dari pemberian izin tersebut.setelah itu baru melakukan
pengujian mengenai keekonomisan, efisiensi dan efektifitas pelaksanaan kegiatan operasional
pemberian izin tersebut.
Disamping itu, sebagai aktivitas mengolah masukan keluaran, proses audit juga dapat
diartikan sebagai urut-urutan kegiatan dari awal sampai akhir. Secara umuum proses audit
internal dapat dikelompokkan dalam:

a. Persiapan Penugasan Audit

Kegiatan utama pada tahap ini adalah pengumpulan informasi Tentang auditee, untuk
ditelaah dalam rangka menentukan sasarn audit tentative atau perkiraan permasalahan yang
perlu mendapat perhatian pada tahap audit pendahuluan.

Secara keseluruhan aktifitas persiapan penugasan meliputi: penerbitan surat tugas,

koordinasi dengan inspektorat lain, pemberitahuan kepada auditee. Pengumpulan informasi
umum, penyusunan rencana penugasan, penyiapan program audit untuk audit pendahulu.

b. Audit Pendahuluan
Pada tahap ini auditor berupaya memperoleh kerjasama dengan auditee memperoleh
gambaran yang lebih detail tentang auditee, serta mengumpulkan bukti awal dan melakukan
berbagai penelaahan dengan memperhatikan sasaran audit tentative dan mengikuti langkahlangkah pemeriksaaan dalam program audit pendahuluan.
Hasil pengumpulan bukti awal dan penelaahan tersebut digunakan untuk menentukan
permasalahan yang perlu didalami dalam rangka merencanakan prosedur audit selanjutnya.
Secara keseluruhan aktifitas yang dilakukkan oleh auditor pada audit pendahuluan ini
meliputi: pertemuan awal, observasi lapangan, penelaahan dokumen, evaluasi pengendalian
internal, prosedur analitis, dan penyusunan program audit lanjutan.
c.

Pelaksanaan Pengujian
Pada tahap ini dilakukan pendalaman pemeriksaan, dengan mengumpulkan bukti-bukti
yang lebih banyak dan analisa yang lebih mendalam dalam rangka memperkuat/melengkapi
atribut terkait denngan permasalahan yang perlu mendapat perhatian sebagaimana di
identifikasi pada audit pendahuluan. Kegiatan pelaksanaan pengujian pelaksanaan ini disebut
juga dengan pemeriksaan lanjutan/ perluasan pengujian/pengembangan temuan.

d. Penyelesaian Penugasan Audit

Pada tahap penyelesaian penugasa, auditor merangkum semua permasalahan yang
ditemukan dalam suatu daftar permasalahan/temuan, kemudian mengkonfirmasikannya
kepada pihak auditee untuk mendapatkan tanggapan dan pengembangan rekomendasi untuk
persetujuan dan komitmen dari manajemen mengenai permaslaahan yang dikemukakan dan
pelaksanaan rekomendasi tersebut. kegiatan konfirmasi dengan pihak auditee tersebut
biasanya dilakukan dalam forum pertemuan akhir atau closing conference.
e. Pelaporan dan Tindak Lanjut

1) Pelaporan
Penyusunan laporan hasil audit, yaitu aktifitas menuangkan rangkuman hasil audit
kedalam laporan, biasanya dilakukan oleh ketua tim audit, direview oleh supervisor dan
disetujui/ditanda tangani oleh penanggung jawab audit llaporan yang telah disetujui
kemudian digandakan sesuai kebutuhan dan didistribusikan kepada pihak-pihak yang berhak
menerima.
2) Tindak Lanjut
Dalam laporan hasil audit diungkapkan pula berbagai permalasahan yang ditemukan
dan rekomendasi yang perlu ditindaklanjuti oleh manajemen atau pihak laiit yang terkait
terhadap rekomendasi yang diberikan itu, auditor melakukan pemantauan dan evaluasi.
Maksudnya adalah untuk mencapai tujuan akhir kegiatan audit internal yaitu adanya
perbaikan, penertiban, penyempurnaan dan peningkatan kinerja audit, sekaligus bermanfaat
dalam upaya peningkatan pelayanan masyarakat dan kesejahteraan masyarakat.
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer
berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang
dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.

2.3 Pengaruh Perkembangan Teknologi Informasi Terhadap Proses Audit

Kemajuan IT telah mengubah cara perusahaan dalam mengumpulkan data,
memproses dan melaporkan informasi keuangan Oleh karena itu auditor akan banyak
menemukan lingkungan dimana data tersimpan lebih banyak dalam media elektronik
dibanding media kertas. Auditor harus menentukan bagaimana perusahaan menggunakan

systemTI untuk meng-inisiasi, mencatat, memproses dan melaporkan transaksi dalam laporan
keuangan. Sebenarnya tidak ada perbedaan konsep audit yang berlaku untuk system yang
kompleks dan system manual, yang berbeda hanyalah metode-metode spesifik yang cocok
dengan situasi system informasi akuntansi yang ada. Pemahaman ini diperlukan dalam rangka
mendapatkan pemahaman internal control yang baik agar dapat merencanakan audit dan
menentukan sifat, timing dan perluasan pengujian yang akan dilakukan.
Audit pada dasarnya adalah proses sistematis dan objektif dalam
memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan
asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria
berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.
Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional
dan audit sistem informasi (teknologi informasi). Audit IS merupakan proses
pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer
yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga
integritas data, dapatmembantu pencapaian tujuan organisasi secara efektif,
serta menggunakan sumber daya yang dimiliki secara efisien. Audit IS relatif
baru

ditemukan

dibanding

audit

keuangan, seiring

dengan

meningkatnya

penggunan IT untuk mensupport aktifitas bisnis.

2.4 Audit IT
Yaitu pendekatan audit dengan memperlakukan komputer sebagai kotak
hitam, teknik ini tidak menguji langkah-langkah proses secara langsung, hanya
berfokus pada input dan output dari sistem komputer.
Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi:
Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system,
reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya
adalah audit atas proses, modifikasi program, audit atas sumber data, dan data
file. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain:

Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi,

Ilmu Komputer, dan Behavioral Science.
Tahapan-tahapan dalam audit IT pada prinsipnya sama dengan audit
pada umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program
audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan
efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat
diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini
penting sekali menilai aspek internal kontrol, yang mana dapat memberikan
masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya
pemeriksaan yang akan terlihat pada audit program.
Menurut standar pada dasarnya auditor keuangan melakukan pengujian berikut:
1. Uji kepatuhan terhadap prosedur yang berlaku (otorisasi, kelengkapan, keakuratan),
2.

Uji Substantif (Uji terhadap transaksi dan hasil pengolahan),

3. Pengolahan kembali transaksi dalam prosedur pengujian kepatuhan atau substantive.

Tentunya luasnya pengujian terkait dengan resiko deteksi yang dapat diterima oleh
auditor. Jenis dan luas pengujian tidak tergantung besarnya perusahaan tetapi ditentukan oleh
kompleksitas lingkungan IT yang ada seperti luasnya system on-line yang digunakan, tipe
dan signifikansi transaksi keuangan, serta sifat dokumen / database, serta program yang
digunakan.
Beberapa contoh situasi yang memerlukan pengujian pengendalian control :
1. System IT yang digunakan untuk otomasi: proses inisiasi, recording, prosessing dan
pelaporan keuangan seperti ERP, (Gambar 1)
2. Electronic data interchange dan payment transfer system yang secara elektronik men-transmit
order dan pembayaran,
3. Program computer yang berisi algoritma dan formula yang melakukan kalkulasi otomatis
seperti komisi, allowance for doubtful account, reorder point, loan reserve dan kalkulasi dana
pension.
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama
dari ketatakelolaan IT, yaitu :

Conformance (Kesesuaian) Pada kelompok tujuan ini audit sistem informasi difokuskan
untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan),
Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).

Performance (Kinerja) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency
(Efisiensi), Reliability (Kehandalan).
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber
daya IT yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil. Untuk lebih
praktisnya, berikut ini adalah beberapa tujuan audit sistem informasi yang pernah dilakukan,
antara lain :

Evaluasi atas kesesuaian (strategic alignment) antara rencana strategis dan rencana tahunan
organisasi dengan rencana strategis IT, rencana tahunan IT dan rencana proyek/program IT.

Evaluasi atas kelayakan struktur organisasi IT, termasuk pemisahan fungsi (segregation of
duties) dan kelayakan pelimpahan wewenang dan otoritas (delegation of authority).

Evaluasi atas pengelolaan personil IT, termasuk perencanaan kebutuhan, rekrutmen dan
seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, serta terminasi personil IT.

Evaluasi atas pengembangan IT, termasuk analisis kebutuhan, perancangan, pengembangan,

pengujian, implementasi dan migrasi, pelatihan dan dokumentasi IT, serta manajemen
perubahaan.

Evaluasi atas kegiatan operasional IT, termasuk pengelolaan keamanan dan kinerja
pengelolaan pusat data (data center), pengelolaan keamanan dan kinerja jaringan data, dan
pengelolaan masalah dan insiden IT serta dukungan pengguna (helpdesk).

Evaluasi atas kontinuitas layanan IT, termasuk pengelolaan backup & recovery, pengelolaan
prosedur darurat IT (IT emergency plan), pengelolaan rencana pemulihan layanan IT (IT
recovery

plan),

serta

pengujian

rencana

kontijensi

operasional

(business

contigency/continuity plan).

Evaluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input, pengendalian

proses dan pengendalian output.

Evaluasi atas kualitas data/informasi, termasuk pengujian atas kelengkapan dan akurasi data
yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.
Pengujian pengendalian dilakukan dengan mengidentifikasi aktivitas control(policy
dan procedure) yang ada untuk mencegah dan mendeteksi kesalahan saji material dalam
laporan keuangan. Dua aktivitas utama yang diuji adalah pengendalian terkait dengan
pemrosesan informasi yaitu general control dan application control.

General control terkait dengan semua aktivitas computer dan termasuk control atas system
development, access security, program change, data center dan network dan maintenance.

Aplication control berhubungan dengan task spesifik yang dilakukan individual aplikasi.
Termasuk didalam prosedur cek dengan IT misalnya edit check saat input data dan check
yang dilakukan oleh individu termasuk manual follow-up rekonsiliasi atau exception report
Pengujian pengendalian bertujuan, mengumpulkan bukti tentang seberapa efektif dan
konsisten prosedur pengendalian berjalan. Pengujian ini dilakukan dengan wawancara
(inquiry), inspeksi dokumen terkait atau inspeksi file elektronik terkait, observasi penerapan
pengendalian dan pemrosessan ulang transaksi.
Dalam mendesign pengujian automated control (computerised control / application
control), auditor harus mempertimbangkan kebutuhan untuk mendapatkan bukti pendukung
atas efektifitas pengendalian operasi secara langsung maupun tak langsung terkait dengan
asersi atas laporan keuangan Teknik yang digunakan untuk pengujian tentu saja berbeda
dengan teknik pengujian manual.
Beberapa perubahan pengendalian internal

yang

diakibatkan oleh

pengintegrasian IT ke dalam sistem akuntansi:

1. Pengendalian computer menggantikan pengendalian manual. Karena computer
memproses informasi secara konsisten , sistem IT dapat mengurangi salah saji
dengan mengganti prosedur manual dengan pengendalian terprogram yang
menerapkan pengecekan dan penyeimbangan setiap transaksi yang diproses
2. Tersedianya informasi yang mutunya lebih tinggi. Aktifitas IT yang kompleks
biasanya dikelola secara efektif karena kerumitan itu memerlukan organisasi,

procedure, dan dokumentasi yang efektif. Dan biasanya menghasilakn informasi

yang lebih tinggi bagi manajemen, jauh lebih cepat dari sistem manual.
2.4.2

Keahlian Audit IT
Untuk melakukan pekerjaannya, auditor IT membutuhkan pelatihan dan pendidikan.

Auditor

TI

setidaknya harus

memiliki gelar

sarjana.

lulusan

ini

pada

umumnya mempunyai pendidikan tentang sistem informasi, ilmu komputer, dan / atau
akuntansi. Selain sarjana pendidikan dasar, banyak auditor TI memiliki gelar sarjana dan
sertifikasi khusus atau lisensi. Sertifikasi dapat cukup umum. sepertiCertified Public
Accountant (CPA), Certified Fraud Examiner (CFE), Certified Internal Auditor (CIA),
atau Certified Information Systems Auditor (CISA)
Sertifikasi

potensial

lainnya adalah Certified

Information

System

Security

Professional (CISSP) penunjukan. Kepercayaan adalah terutama penting dalam industri

keamanan komputer. Setelah semua, bagaimana Anda tahu bahwa spesialis keamanan Anda
menyewa bukan hacker? Oleh sebab itu, International Information System Security
Certification Consortium (ISC)2, Sebuah asosiasi keamanannirlaba, menciptakan CISSP.
Sertifikasi tersebut memerlukan tiga tahun pengalaman kerja praktis dan calon harus lulus
ujian yang mencakup topik-topik seperti kriptografi, sistem kontrol akses, arsitektur
keamanan, keamanan operasi, dan masalah hukum dan etika.

2.4.2.1 Keterampilan Teknis

Auditor IT memperoleh keterampilan teknologi khusus karena mereka bekerja dengan
platform yang berbeda (sistem operasi) dan aplikasi perangkat lunak. Auditor biasanya
memiliki panduan yang menjelaskan fitur khusus langkah operasi yang diikuti dalam
mengeluarkan data dan kontrol pengujian.
Sementara auditor IT baru dengan banyak pengetahuan tentang perangkat keras
komputer dan software seperti perencanaan sumber daya perusahaan (FRP), sistem operasi,
e-bisnis, dan keamanan jaringan sangat diinginkan, mungkin yang paling penting bahwa
perencanaan individu karir di IT audit hanya benar-benar "seperti" komputer dan teknologi.
Sebuah ketertarikan untuk belajar tentang topik teknis mungkin adalah aset terbaik.

Setelah itu, informasi teknologi berubah terus-menerus dan IT auditor harus menyadari
bahwa karir ini mencakup belajar sesuatu yang baru setiap hari.
2.4.2.2 Keterampilan Bisnis dan Personal
Keterampilan komputer teknis adalah penting untuk auditor IT, komunikasi umum
dan keterampilan bisnis mungkin lebih penting. IT auditor, seperti semua auditor, menulis
karya mereka Mereka juga sering membuat presentasi kepada klien internal atau eksternal.
Akibatnya, tertulis dan keterampilan komunikasi lisan merupakan kunci keberhasilan dalam
profesional.
Keterampilan penting lain bagi auditor adalah keterampilan interpersonal dan
kerjasama. Jarang auditor IT bekerja dalam isolasi. Mereka umumnya membutuhkan
dukungan dari auditor lain dan coperation dari orang-orang yang mereka audit. "Auditor
akan datang pada hari Senin," adalah ungkapan yang ditakuti. Seorang auditor membutuhkan
keterampilan interpersonal yang sangat baik untuk mengatasi bias negatif terhadap auditor
dari orang-orang yang bekerja di bawah pengawasan mereka.
Bisnis pendidikan juga penting untuk auditor IT. IT yang akan dievaluasi
auditor digunakan oleh organisasi bisnis untuk mendukung proses mereka. Oleh karena itu
auditor perlu memahami proses bisnis ini, termasuk keuangan, distribusi, sumber daya
manusia, dan proses manufaktur.
Karena akuntan sangat terlatih dalam proses bisnis, terutama dalam proses keuangan,
akuntansi pengetahuan merupakan pengetahuan yang sangat diinginkan untuk auditor IT.
Plus, accountan dididik dalam audit pada umumnya, yang membuat mereka calon ideal untuk
pekerjaan audit TI. Namun, pelatihan usaha lainnya berguna juga. Misalnya, auditor TI dapat
menggunakan keahlian pemasaran dalam menjual jasa kepada klien. Namun keterampilan
penting lainnyaadalah ilmu dalam hal pengambilan keputusan.
2.4.3

Tugas Auditor IT
Auditor IT memastikan tata kelola IT. Disamping itu Auditor IT juga dapat menilai

risiko dan melaksanakan atau memantau kontrol atas risiko tersebut. Peran auditor IT
bervariasi sesuai dengan posisi mereka di dalam atau di luar organisasi dan dengan proyek

individu tertentu. Tingkat keahlian yang diperlukan untuk juga bervariasi dari yang sangat
teknis hingga yang memerlukan keterampilan komunikasi yang baik.
Auditor TI bekerja baik sebagai auditor internal atau eksternal. Auditor tersebut
kemungkinan akan menilai risiko dan kontrol TI. Kadang-kadang hal ini dilakukan sebagai
pendukung untuk pekerjaan audit keuangan, dan pada waktu lain tujuan evaluasi risiko dan
kontrol TI dilakukan untuk kepentingan diri sendiri. Pada dasarnya auditor TI dapat
memberikan jaminan atau memberikan kenyamanan atas apa saja yang berhubungan dengan
sistem informasi. Disamping itu, terdapat beberapa jenis pekerjaan yang dapat dilakukan oleh
auditor IT termasuk:
a.

Mengevaluasi dan mengontrol aplikasi khusus. Misalnya aplikasi seperti e-bisnis,

perencanaan sumber daya perusahaan (ERP system), atau perangkat lunak lain.

b. Memberikan jaminan atas proses tertentu. Hal ini mungkin berupa prosedur audit yang
disepakati di mana klien dan auditor IT menentukan cakupan jaminannya.
c.

Memberikan jaminan kepada pihak ketiga. Auditor IT seringkali harus mengevaluasi risiko
dan kontrol atas sistem informasi pihak ketiga dan memberikan jaminan kepada orang lain.

d. Pengujian akan adanya resiko pembobolan data. Hal ini melibatkan proses untuk mencoba
mendapatkan akses ke sumber daya informasi untuk menemukan kelemahan dari sistem
keamanan.
e.

Pendukung audit keuangan. Hal ini mencakup evaluasi mengenai resiko dan control IT yang
dapat mempengaruhi keandalan sistem pelaporan keuangan.

f.

Menyelidiki penipuan berbasis IT. IT auditor bisa dipanggil untuk membantu investigasi
dalam penyelidikan penipuan

2.4.4

Organisasi Auditor IT Profesional dan Sertifikasi

Ada sejumlah organisasi profesional bagi auditor TI.Grup ini mengeluarkan sertifikasi

kepada anggota yang memiliki kemampuan yang beraneka ragam. Persyaratan pengetahuan.
Kelompok-kelompok meliputi Information Systems Audit and Control Association (ISACA),
Institute of Internal Auditor (I1A), Association of certified Public Accountant (AICPA).
1. Information Systems Audit and Control Association (ISACA)

Information Systems Audit and Control Association (ISACA), didirikan tahun 1969,
adalah organisasi profesional auditor TI terbesar. Kelompok ini memiliki lebih dari dua puluh
lima ribu anggota di lebih dari seratus negara dan memiliki sertifikasi lebih dari 29.000 IT
auditor. ISACA memiliki bagianpenelitian, Sistem Informasi Audit dan Control Foundation,
yang melakukan penelitian dan publikasi isu-isu yang membimbing IT audit profesional.
ISACA mulai menawarkan sertifikasi CISA tahun 1978. Sebuah CISA harus berhasil
menyelesaikan ujian yang diselenggarakan setiap tahun, memenuhi persyaratan pengalaman
profesional, mematuhi kelompok Profesional Kode Etik, dan memenuhi persyaratan
pendidikan berkelanjutan.
Sertifikasi secara umum membutuhkan pengalaman minimal lima tahun dalam IT
audit, kontrol, atau keamanan, meskipun ada beberapa pilihan tersedia yang akan
mengesampingkan bagian dari persyaratan ini. Sebagai contoh, profesional dapat mengganti
satu tahun pengalaman audit keuangan untuk satu tahun praktik audit TI. Pengalaman ini
harus berada dalam sepuluh tahun sebelum tanggal permohonan sertifikasi atau dalam lima
tahun kelulusan. CISA professional juga harus setuju dengan kode etik profesional yang
dirancang untuk membimbing mereka dalam perilaku mereka dan untuk menaati Sistem
Informasi Standar ISACA. Karena karir IT audit membutuhkan pembelajaran lebih lanjut,
sebuah CISA harus menyelesaikan dua puluh jam kontak melanjutkan pendidikan setiap
tahun dan 120 jam kontak dalam jangka waktu tiga tahun untuk mempertahankan sertifikasi.
2.Institute of Internal Auditor (IIA)
Institute of Internal Auditor (IIA), yang didirikan tahun-tahun 1941, adalah organisasi
internasional

profesional

audit

internal.

Organisasi

ini

menghasilkan

jurnal, menyelenggarakan pertemuan profesional dan seminar pendidikan, melakukan

penelitian melalui HA Research Foundation, dan mengeluarkan mandatCertified Internal
Auditor (CIA), bersama dengan sertifikasi audit pemerintah, dan jasa keuangan audit .
Organisasi ini juga mempromosikan praktek audit internal melalui jaminan kualitas dan
penerbitan standar, pedoman, dan praktik terbaik. IIA adalah salah satu organisasi profesional
utama yang menolong akuntan dalam berbagai peran mereka. Keanggotaan IIA adalah terdiri
dari auditor internal; American Institute Certified Public Accountant (AICPA), dan Institut

Management Akuntansi (IMA) mempromosikan praktek akuntansi manajemen dan keuangan

perusahaan.
Banyak perusahaan besar mempekerjakan banyak staf audit internal , yang mencakup
sejumlah auditor Auditor IT dapat berupa auditor eksternal atau anggota organisasi
staf audit internal IT. Menariknya, beberapa kantor akuntan publik juga mempekerjakan
auditor internal, yang jika mereka terlibat dalam menyediakan layanan outsource audit
internal untuk organisasi yang tidak dapat membenarkan mempertahankan staf audit internal
yang cukup besar. Auditor internal yang bekerja untuk perusahaan akuntan publik mungkin
memiliki

kemampuan

IT

yang

lebih

khusus

dari

auditor

internal biasa

lebih dapat dipertahankan karena mereka memiliki kesempatan untuk bekerja dengan
banyak bisnis, pemerintah, dan organisasi nirlaba dengan beberapa teknologi .
3.The Association of Certified Fraud Examiners (ACFE)
Association of Certified Fraud Examiners (ACFE) atau asosiasi penguji kecurangan
bersetifikat seperti namanya, menerbitkan Certified Fraud Examiner(CFE) atau sertifikat
penguji kecuranga untuk profesional yang berspesialisasi dalam audit untuk kecurangan.
Banyak penipuan disebabkan oleh teknologi atau penggunaan TI. Sehingga, auditor TI dapat
meminta mandat untuk menunjukkan keahliannya di bidang ini.
Kelayakan calon CFE didasarkan pada sistem poin. Poin diberikan kepada pendidikan
dan pengalaman professional yang lebih tinggi. Pengalaman Profesional harus berhubungan
baik secara langsung dalam pemeriksaan kecurangan, atau di daerah terkait yang mencakup
akuntansi dan audit, kriminologi atau sosiologi, investigasi, pencegahan kerugian, dan bidang
hukum tertentu. Pelamar harus lulus ujian yang diselenggarakan oleh ACFE dan setuju untuk
mematuhi Kode Etik dan Anggaran Rumah Tangga Organisasi.
Ujian CFE terdiri dari lima ratus pertanyaan objektif dan diberikan melalui komputer,
yang mencakup: transaksi keuangan palsu, investigasi, unsur-unsur hukum penipuan,
kriminology dan etika. Menariknya, ujian tidak mencakup TI secara eksplisit, dan tidak fokus
hanya pada TI saja.
4. The American Institute of Certified Public Accountants (AlCPA)

AICPA adalah organisasi profesional yang menganugerahkan lisensiCertified Public

Accountant (CPA). Organisasi ini memiliki sekitar 350.000 anggota akuntan profesional.
Pada tahun 1934, The Securities and Exchange Commission (SEC) mulai meminta
perusahaan publik untuk memiliki laporan keuangan yang diaudit oleh akuntan publik.
Akuntan publik terlibat dalam semua aspek akuntansi, termasuk pajak, jasa konsultasi, dan
audit TI. CPA menyediakan pondasi yang baik untuk auditor IT, Karena hal tersebut akan
memastikan bahwa auditor memiliki pengetahuan menyeluruh terhadap proses keuangan dan
pelaporannya.
ada tahun 2000, AICPA memperkenalkan mandat baru yang merupakan tambahan
lisensi CPA. Hal tersebut berupa Certified Information Technology Professional (CITP).
Tujuan dari mandat ini adalah untuk menunjukkan bahwa CPA memiliki keahlian khusus di
bidang TI. Daerah yang tercakup oleh pemeriksaan yang diperlukan untuk sertifikasi CITP.
2.4.5

Penataan Audit IT
Prosedur menyelesaikan perjanjian audit bervariasi, tergantung pada berbagai jenis

audit TI. Hal ini termasuk: (1) atestasi atau disepakati oleh prosedur audit, (2) Pernyataan
Standar Auditing # 70 audit, (3) IT audit dalam mendukung audit keuangan eksternal, dan (4)
temuan dan rekomendasi tinjauan.
a. Standar Audit dan Pedoman AICPA
The Auditing Standards Board (ASB) dari AICPA secara tradisional mengeluarkan
standar auditing, opini, dan petunjuk lainnya untuk diikuti oleh akuntan publik dalam
melakukan audit laporan keuangan dan perjanjian jenis lainnya. AICPA menerbitkan sepuluh
standar audit pertama yang berlaku umum (GAAS ) pada tahun 1947. Standar-standar ini,
digolongkan ke dalam kategori umum, lapangan kerja, dan standar pelaporan, penyediaan
kerangka kerja untuk panduan yang lebih spesifik. Pernyataan Standar Audit (SAS) adalah
interpretasi dari GAAS dimana CPA harus mematuhinya dalam audit laporan keuangan
perusahaan publik. Beberapa dari SAS ini menyangkut risiko TI, pengendalian, dan audit.
Standar audit AICPA lainnya adalah Statement For Attestion Enggagament
(SSAE). Selain auditor TI sering melakukan pekerjaan untuk mendukung audit laporan
keuangan, mereka juga dapat digunakan oleh klien untuk melakukan sebuah atestasi

(pengesahan). Ini adalah sebuah tugas dimana isu laporan auditor yang menyatakan suatu
kesimpulan mengenai keandalan suatu persoalan yang menjadi tanggung jawab dari orang
lain. Sebagai contoh, auditor mungkin diminta untuk membuat pernyataan tentang kepatuhan
organisasi terhadap aturan-aturan tertentu.
Pada tahun 2001, ASB mengeluarkan SSAE Nomor 10, Standar-standar Atestasinya,
yaitu: Revisi dan Rekodefikasi yang menggantikan semua laporan perjanjian atestasi
sebelumnya. Standar baru menyadari bahwa auditor semakin terlibat dalam pemberian
jaminan atas informasi non-keuangan dan perluasan wilayah di mana standar akan
diberlakukan. Sebagian besar jaminan baru yang auditor minta adalah untuk memberikan
perhatian terhadap IT.
Standar atestasi saat ini yang melibatkan beberapa perjanjian dimana CPA adalah
masalah mengenai ujian, review, atau laporan persetujuan atas suatu prosedur. Salah satu
tujuan standar baru adalah untuk memperjelas perbedaan antara jasa konsultasi dan jasa
atestasi SSAE No. 10 menjelaskan bahwa jasa konsultasi menghasilkan sebuah nasehat,
sedangkan sebuah pengesahan engagement menghasilkan sebuah laporan yang didalamnya
memberikan jaminan atas suatu area tertentu.
b. Pedoman International Federation of Accountants (IFAC)
Federasi Akuntan Internasional (IFAC) adalah paying organisasi internasional dari
sebuah kelompok professional akuntansi di tingkat nasional. Kelompok-kelompok ini
mewakili akuntan dalam berbagai peran, termasuk manajemen, audit, pendidikan, dan pajak.
Anggotanya diklasifikasikan sebagai anggota penuh, anggota asosiasi dan anggota afiliasi.
Anggota penuh di Amerika Serikat adalah AICPA, Institute of Management Accountants
(IMA), dan Asosiasi Nasional Dewan Akuntansi Negara (NASBA). ISACA dan IIA adalah
anggota afiliasi, dan, seperti anggota penuh, mereka mendukung tujuan dan ORK dari IFAC
dan Dewan Standar Akuntansi Internasional (IASB).
Misi dari IFAC adalah untuk mengembangkan harmonisasi atau biasa disebut sebagai
standar akuntansi internasional dan pedoman untuk membantu para profesional dalam
pekerjaan mereka. Mereka melakukan hal ini, sebagian dengan mendukung pekerjaan IASB.

IFAC telah menerbitkan beberapa jenis pedoman yang digunakan oleh IT auditor.
Buku Pedoman TI Internasional IFAC memberikan arahan tentang bidang TI seperti
keamanan, manajemen TI, akuisisi TI, operasi TI, pemantauan, dan implementasi. Di
samping itu, International Auditing and Assurance Standards Boards (IAASB), sebuah komite
dari IFAC, menerbitkan dua jenis pernyataan audit, Standar Internasional tentang audit (ISA)
harus yang digunakan dalam audit laporan keuangan dan International Auditing Practice
Statements (IAPSs) yang menyediakan bantuan untuk auditor dalam melaksanakan standard
tersebut. ISA No 401, Auditing dalam Lingkungan Sistem Informasi Komputer, membekali
baik auditor keuangan maupun IT dengan bimbingan mengenai hal konduksi audit laporan
keuangan yang melibatkan IT. Banyak dari laporan praktek memberikan bantuan untuk audit
di lingkungan yang spesifik atau teknologi seperti e-commerce, sistem database, dan sistem
komputer yang berdiri sendiri.
c.

Standard, Pedoman, dan Prosedur ISACA

Menyadari kompleksitas audit TI, Dewan Standar ISACA menerbitkan Standar,
pedoman, dan prosedurAudit TI. Standar ini menetapkan tingkat kinerja minimum yang
diperlukan untuk mematuhi Kode Etik Profesional ISACA, dan mereka juga memberitahukan
kepada manajemen dan yang lainnya mengenai jenis pekerjaan yang harus dicakup oleh audit
TI. Sebuah CISA yang berlisensi harus memenuhi standar ISACA atau penyelidikan reputasi
dan tindak kedisiplinan. Pedoman ini memberikan bantuan dalam menerapkan standar, dan
prosedur langkah-langkah auditor IT dalam mengambil kebijakan sepanjang perjanjian audit.
Sistem Pengolahan Transaksi (Transaction Processing System disingkat TPS) adalah
sistem yang menjadi pintu utama dalam pengumpulan dan pengolahan data pada suatu
organisasi. Sistem yang ber-interaksi langsung dengan sumber data (misalnya pelanggan)
adalah sistem pengolahan transaksi, dimana data transaksi sehari-hari yang mendukung
operasional organisasi dilakukan. Tugas utama TPS adalah mengumpulkan dan
mempersiapkan data untuk keperluan sistem informasi yang lain dalam organisasi, misalnya
untuk kebutuhan sistem informasi manajemen, atau kebutuhan sistem informasi eksekutif.

Ada empat tugas pokok dari sistem pengolahan transaksi, yaitu:

1. Pengumpulan Data : setiap organisasi yang ber-interaksi langsung dengan lingkungannya
dalam penyediaan jasa dan produk, pasti memerlukan sistem yang mengumpulkan data
transaksi yang bersumber dari lingkungan.
2. Manipulasi Data : data transaksi yang dikumpulkan biasanya diolah lebih dahulu sebelum
disajikan sebagai informasi untuk keperluan bagian-bagian dalam organisasi atau menjadi
bahan masukan sistem informasi yang lebih tinggi. Beberapa tugas manipulasi data adalah
sebagai berikut:
1) Klassifikasi : data dikelompokkan menurut kategori tertentu, misalnya menurut jenis
kelamin, menurut agama, menurut golongan, dsb.
2) Sortir : data diurutkan menurut urutan tertentu agar lebih mudah dalam pencarian data,
misalnya di-sortir menurut abjad nama, atau menurut nomer induk, dsb.
3) Perhitungan : melakukan operasi aritmetika terhadap elemen data tertentu, misalnya
menjumlahkan penerimaan dan pengeluaran setiap hari, atau menghitung jumlah hutang
pelanggan, dsb.
4) Pengikhtisaran : melakukan peringkasan data (summary) seperti sintesa data menjadi total,
sub-total, rata-rata, dsb.
3. Penyimpanan data : data transaksi harus di-simpan dan dipelihara sehingga selalu siap
memenuhi kebutuhan para pengguna.
4. Penyiapan dokumen : beberapa dokumen laporan harus disiapkan untuk memenuhi keperluan
unit-unit kerja dalam organisasi
Sistem pengolahan transaksi memiliki beberapa karakteristik, antara lain sebagai
berikut:

Volume data yang di-proses relatif sangat besar.

Kapasitas penyimpanan data (database) tentu sangat besar.

Kecepatan pengolahan di-perlukan sangat tinggi agar data yang banyak bisa diperoses dalam
waktu singkat.

Sumber data umumnya internal dan keluarannya umumnya untuk keperluan internal.

Pengolahan data biasa dilakukan periodik, harian, mingguan, bulanan, dsb.

Orientasi data yang dikumpulkan umumnya mengacu pada data masa lalu.

Masukan dan keluaran terstruktur, data diformat menurut suatu standar.

Komputasi tidak terlalu rumit.

Teknik pengolahan data yang biasa diperoleh ada empat macam, yaitu:

Batch processing : data yang diperoleh dari sumber data biasanya dikumpulkan atau
ditumpuk, lalu diproses pada waktu-waktu tertentu, misalnya data dikumpulkan antara jam
8:00 sampai dengan jam 12:00, kemudian diproses mulai jam 14:00 sampai dengan jam
17:00.

Online processing : data yang diperoleh dari sumber data langsung diproses pada saat
diterima, yang mungkin terjadi adalah antrian data untuk menunggu giliran, misalnya
pemrosesan yang dilakukan pada saat melakukan transaksi online di depan teller bank.

Real-time processing : pemrosesan data tidak boleh ditunda karena waktu sangat kritis,
penundaan pengolahan dapat mengakibatkan sesuatu yang fatal. Misalnya pengolahan data
hasil pemantauan aktivitas gunung berapi.

Inline processing : biasa juga disebut sebagai hybrid-processing, yaitu kombinasi antara
batch-processing dan online-processing. Misalnya pengolahan transaksi di supermarket,
dimana transaksi penjualan melalui POS (point of sale) langsung dilakukan (online), tetapi
pengolahan lebih lanjut tentang persediaan barang dilakukan setiap jam 10:00 malam.
Selain itu seiring dengan perkembangan teknologi komunikasi dan teknologi internet
maka dilahirkan sistem client-server yang populer dengan namaOn Line Transaction
Processing (OLTP). Prosedur pengolahan mirip dengan online-processing, perbedaan-nya
adalah pada teknologi jaringan. Online processing menggunakan arsitektur jaringan terpusat
(host-based) sementara OLTP menggunakan arsitektur client/server. Perkembangan dari
OLTP

melahirkanCustomer

Integrated

System

(CIS) yaitu

sistem

OLTP

dimana

user/pengguna melakukan sendiri transaksinya secara online, misalnya sistem mesin ATM
(automatic teller machine), atau e-commerce (perdagangan lewat fasilitas elektronik).
2.4.6

Jenis Audit IT

a. Sistem dan Aplikasi

Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan
kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk
menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses,
output pada semua tingkat kegiatan sistem.

b. Fasilitas Pemrosesan Informasi

Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali
untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang
efisien dalam keadaan normal dan buruk.

c. Pengembangan system
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan
mencakup kebutuhan obyektif organisasi.

d. Arsitektur perusahaan dan manajemen TI

Audit

yang

berfungsi

untuk

memeriksa

apakah

manajemen

TI

dapat

mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan

lingkungan yang berdaya guna untuk pemrosesan informasi.

e. Client/Server, telekomunikasi, intranet, dan ekstranet.

Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi
pada client, server, dan jaringan yang menghubungkan client dan server.

2.4.7

Metodologi Audit IT
Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan

audit pada umumnya, sebagai berikut :

a. Tahapan Perencanaan
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar
obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang
didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.

b. Mengidentifikasikan reiko dan kendali

Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek
SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.

c. Mengevaluasi kendali dan mengumpulkan bukti-bukti

Melalui berbagai teknik termasuk survei, interview, observasi, dan review
dokumentasi.

d. Mendokumentasikan
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audite.

e. Menyusun laporan

Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.

Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan

strategis, dan anggaran pada periode berikutnya.

Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.

Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan
atau prosedur yang telah ditetapkan.

Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat
digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan
pemeriksaan.

Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak
lanjutnya.

2.4.8

IT Audit Tools
Berikut beberapa software yang dapat dijadikan alat bantu dalam

pelaksanaan audit teknologi informasi:

a. ACL
ACL (Audit Command Language) merupakan sebuah software CAAT (Computer
Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa
terhadap data dari berbagai macam sumber.http://www.acl.com/
b. Picalo

Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques)

seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari
berbagai macam sumberhttp://www.picalo.org/
c.

Powertech Compliance Assessment

Powertech Compliance Assessment merupakan automated audit tool yang dapat
dipergunakan untuk mengaudit dan mem-benchmark user access to data, public
authority to libraries, user security, systemsecurity, system auditing dan
administrator

rights

(specialauthority)

sebuah

server

AS/400. http://www.powertech.com/
d. Nipper
Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan
mem-benchmark konfigurasi sebuah router. http://sourceforge.net/projects/nipper/
e.

Nessus
Nessus

merupakan

sebuah

vulnerability

assessment software. http://www.nessus.org/

f.

Metasploit
Metasploit

Framework

merupakan

sebuah

penetration

testing

tool.http://www.metasploit.com/
g. NMAP
NMAP merupakan open source utility untuk melakukan security auditing.
http://www.insecure.org/nmap/
h. Wireshark
Wireshark merupakan network utility yang dapat dipergunakan untuk mengcapture

paket

data

yang

ada

di

dalam

jaringan

komputer.http://www.wireshark.org/
2.4.9

Risiko pada Audit IT

Pemrosesan data menjadi informasi dapat dilakukan secara manual atau dengan

menggunakan peralatan elektronik berupa komputer. Kemajuan dalam teknologi komputer

mempunyai dampak yang luar biasa pada seluruh aspek kegiatan usaha. Akuntansi, sudah

barang tentu tidak terlepas dari dampak tersebut. Dalam sistem akuntansi manual, data sebagai
masukan (input) diproses menjadi informasi sebagai keluaran (output) dengan menggunakan
tangan. Pada sistem akuntansi yang berkomputer atau yang lebih sering disebut Pemrosesan
Data Elektronik (EDP), data sebagai input juga diproses menjadi informasi sebagai output.
Keuntungan yang dapat dilihat secara jelas dari penggunaan komputer ini adalah kecepatan,
ketepatan, dan kemudahan dalam memproses data menjadi informasi akuntansi. Disamping
keuntungan tersebut, ada beberapa hal yang perlu diperhatikan dalam menggunakan komputer
sebagai alat pengolah data yaitu resiko-resiko yang khas dalam suatu lingkungan akuntansi
berbasis komputer.
Auditor harus menyadari resiko-resiko ini karena hal ini merupakan ancaman yang
tidak ada dalam proses akuntansi manual.Resiko-resiko dalam lingkungan pemrosesan data
elektronik antara lain:
1. Penyalahgunaan teknologi adalah penggunaan teknologi baru sebelum adanya kepastian yang
jelas mengenai kebutuhannya. Banyak organisasi memperkenalkan teknologi database tanpa
menetapkan dengan jelas kebutuhan akan teknologi tersebut. Pengalaman menunjukkan
bahwa para pemakai awal (new user) suatu teknologi baru seringkali mengkonsumsi jumlah
sumberdaya yang cukup besar selama mempelajari cara penggunaan teknologi baru
tersebut.Penggunaan teknologi yang tidak layak antara lain:
1) Analis sistem atau pemrogram tidak mempunyai keahlian yang cukup untuk menggunakan
teknologi tersebut.
2) Pemakai yang awam terhadap teknologi hardware yang baru.
3) Pemakai yang awam terhadap teknologi software yang baru.
4) Perencanaan yang minim untuk instalasi teknologi hardware dan software yang baru.
2. Dalam pemrosesan manual, kesalahan-kesalahan dibuat secara individual. Jadi seseorang
dapat memproses satu pos dengan benar, membuat kesalahan pada pos berikutnya,
memproses 20 pos berikutnya dengan benar dan kemudian membuat kesalahan lainnya
lagi.Dalam sistem yang terintregasi (automatically), aturan-aturan diterapkan secara
konsisten. Jadi, jika aturan-aturannya benar, pemrosesannya akan selalu benar. Tetapi jika

aturan-aturannya

salah,

pemrosesannya

akan

selalu

salah.

Kondisi-kondisi

yang

mengakibatkan pengulangan kesalahan meliputi:

1) Tidak cukupnya pengecekan atas pemasukan informasi input.
2) Tidak cukupnya tes atas program
3) Tidak dimonitornya hasil-hasil dari pemrosesan
3. Kesalahan berantai merupakan efek domino dari kesalahan-kesalahan di segenap sistem
aplikasi. Kesalahan suatu bagian program atau aplikasi akan berakibat pada kesalahan kedua
yang meskipun tidak berkaitan di bagian lain aplikasi. Kesalahan kedua ini dapat berakibat
kesalahan ketiga dan seterusnya. Resiko kesalahan berantai sering dikaitkan dengan
pelaksanaan perubahan sistem aplikasi. Perubahan dilaksanakan dan diuji dalam program di
mana perubahan terjadi. Namun demikian, beberapa kondisi dapat berubah karena adanya
perubahan yang menimbulkan kesalahan di bagian lain sistem aplikasi tersebut.Rantai
kesalahan dapat terjadi di antara aplikasi-aplikasi. Resiko ini akan semakin besar sejalan
dengan semakin terpadunya aplikasi.
4. Resiko yang timbul meliputi kegagalan untuk mengimplementasikan kebutuhan karena para
pemakai tidak memiliki kemampuan teknis. Dampaknya adalah kebutuhan yang
diimplementasikan adalah kebutuhan yang tidak layak karena personil teknis tidak m
mahami kebutuhan sebenarnya dari pemakai. Akibat lainnya adalah munculnya sistem
manual yang semakin besar untuk menutup kelemahan- kelemahan dalam aplikasi komputer.
Kondisi ketidakmampuan menerjemahkan kebutuhan pemakai ini disebabkan antara lain:
Para pemakai tidak memiliki keahlian teknis EDP
1) Orang-orang teknis tidak memiliki pemahaman yang cukup mengenaipermintaan pemakai.
2) Ketidakmampuan untuk merumuskan permintaan dengan cukup terinci.
3) Sistem yang digunakan oleh banyak user tanpa ada user yang bertanggung jawab atas
sistem tersebut.
5. Ketidakmampuan dalam mengendalikan teknologi.Pengendalian memang sangat diperlukan
dalam penggunaan lingkungan berteknologi. Pengendalian-pengendalian akan menjamin
bahwa versi yang tepat berada digunakan pada saat yang tepat; bahwa file-file yang tepat
digunakan; bahwa para operator komputer melaksanakan instruksi yang tepat; prosedur yang

memadai dikembangkan untuk mencegah, mendeteksi dan memperbaiki permasalahan yang

terjadi; dan bahwa data yang tepat disimpan dan kemudian diperoleh dengan mudah jika
diperlukan.Kondisi yang menimbulkan teknologi yang tak terkendali mencakup:
1) Pemilihan kemampuan pengendalian sistem yang ditawarkan oleh rekanan pemrogram
sistem yang tanpa memperhatikan kebutuhan audit.
2) Terlalu banyaknya pengendalian yang dikorbankan demi menjaga efisiensi operasi.
3) Prosedur-prosedur untuk memulai kembali/pemulihan (recovery data) yang tidak memadai.

2.5 Menilai Risiko Audit

Meskipun IT meningkatkan pengendalian intern perusahaan, hal ini juga dapat
mempengaruhi resiko-resiko pengendalian perusahaan secara keseluruhan. resiko khusus
pada sistem TI yaitu:
1. Resiko pada perngkat keras
Meskipun IT memberikan manfaat pemrosesan yang signifikan, hal itu juga
menciptakan resiko yang unik dalam melindungi perangkat keras dan data,
termasuk potensi munculnya jenis kesalahan baru. Resiko khusus ini mencakup
hal-hal berikut:
a.

Ketergantungan pada kemampuan berfungsinya perangkat keras dan lunak.

Tanpa perlindungan fisik yang baik perangkat keras dan oerangkat lunak tidak
dapat digunakan dengan baik,. karena itu sangat penting melindungi secara fisik
dari kerusakan fisik yang mungkin diakibatkan dari penggunaan yang tidak
semestinya, sabotase atau kerusakan lingkungan

b. Kesalahan sistematis versus kesalahan acak

c.

Akses yang tidak sah salah

d. Hilangnya data
2. Jejak audit yang berkurang

Salah saji mungkin tidak terdeteksi dengan meningkatnya penggunaan IT

akibat hilangnya jejak audit secara nyata , termasuk berkurangnya keterlibatan
manusia. selain itu, computer juga menggantikan jenis otorisasi tradisional dalam
banyak sistem IT.
-

Visibilitas jejak audit. karena sebagian besar informasi dimasukan secara

langsung ke dalam computer, penggunaan IT sering kali mengurangi atau bahkan
meniadakan dokumen dan catatan sumber yang memungkinkan organisasi
menelusuri informasi akuntansi.

Keterlibatan Manusia yang berkurang. Dalam banyak sistem IT, karyawan yang
terlibat dengan pemrosesan awal transaksi tidak pernah melihat hasil akhirnya.
Karena itu, mereka kurang mampu mengidentifikasi salah saji pemrosessan,
Walapun mereka melihat outout akhir, sering kali sulit untuk mengenali salah saji
karena hasilnya sering sangat ringkas.

Tidak adanya otorisasi traditiona. Sistem IT yang sangat canggih biasanya

diprakarsai jenis transaksi tertentu secara otomatis, seperti perhitungan bunga
atas rekening tabungan bank dan pemesanan persediaan apabila tingkat pesanan
yang dtentukan telah dicapai,

3. Kebutuhan IT akan pengalaman dan pemisahan tugas

Sistem IT mengurangi sistem pemisahan tugas traditional (otorisasi,
pembukuan, penyimpanan) dan menciptakan kebutuhan akan pengalaman IT
tambahan.
-

Pemisahan tugas yang berkurang.

Kebutuhan dan pengalaman IT

2.5.1 Pegendalian Internal Khusus atas Tekhnologi Informasi

Standar auditing menguraikan dua kategori pengendalian atas sistem IT :
1. Pengendalian umum. Di terpakan di semua aspek fungsi IT termasuk administrasi
IT: pemisahan tugas IT, pengembangan sistem; keamanan fisik dan online atas
akses keperangkat keras, perangkat lunak dan data terkait: backup dan
perencanaan kontijensi

atas keadaan darurat yang tak terduga:

serta

pengendalian perangkat keras. Auditor akan mengevaluasi pengwndalian umum

untuk perusahaan secara keseluruhan.
2. Pengendalian aplikasi. Berlaku bagi pemrosesan transaksi seperti pengendalian
atas pemrosesan penjualan atas penerimaan kas. Auditor harus mengevaluasi
pengendalian aplikasi untuk setiap kelas transaksi atau akun dimana auditor
berencana mengurangi resiko pengendalian yang ditetapkan, karena pengendalian
TI akan berada diantara kelas-kelas transaksi dan akun. Pengendalian aplikasi
hanya akan efektif jika pengendalian umum efektif.
Berikut adalah kategoori-kategori dari kedua pengendalian :
Jenis pengendalian

Kategori pengendallian

Contoh Pengendalian

Pengendalian
Umum

Administtrasi fungsi IT

CIO atau manajer TI melapor

kepada manajemen senior dan
dewan direksi

Pemisahan tugas-tugas TI

Tanggung jawab pemrograman,

operasi dan pengendalian data
dipisahkan
Tim pemakai, analisis sistem, dan
programmer mengembangkan serta
secara
menyeluruh
menguji
perangkat lunak

Pengembangan siste

Keamanan fisik dan online

Akses keperangkat keras dibatasi,
kata sandi dan ID pemakai
membatasi akses perangkat lunak ke
file data, serta pengkodean dan
firewall yang melindungi data serta
program dari pihak luar
Back up dna perencanaan
kontijensi
Rencana back up tertulis disiapkan
dan diuji secara teratur sepanjang
tahun

Pengendalian

Pengendalian input

Tampilan layar yang telah diformat

Aplikasi

2.5.2

yang mendorong personil input data

untuk memasukkan informasi
Pengendalian pemrosessan

Pengujian atas kewajaran review

harga jual perunit yang digunakan
untuk memproses penjualan

Pengendalian output

Department penjualan melakukan

review pasca pemrosesan transaksi
penjualan.

Pengaruh Pengendalian Umum terhadap Resiko Pengendalian

a. Pengaruh pengendalian umum terhadap aplikasi keseluruhan

Pengendalian umum yang tidak efektif akan menimbulkan menimbulkan potensi salah saji
yang material pada semua aplikasi sistem, tanpa memperhatikan mutu dari setiap
pengendalian aplikasi.
b. Pengaruh Pengendalian Umum terhadap Perubahan Perangkat lunak
Jika klien mengganti perangkat lunak aplikasi, hal itu akan mempengaruhi ketergantungan
auditor pada pengendalian yang terotomatisasi. Ketika klien mengganti perangkat lunaknya
maka auditor perlu mempertimbangkan apakah aka nada pengujian tambahan. Jika
pengendalian umumnya efektif, auditor dapat dengan mudah mengidentifikasi kapan
perubahan perangkat lunak itu dilakukan. Namun, jika perusahaan memiliki pengendalian
internal yang lemah, maka akan sulit bagi auditor untuk mengidentifikasi perubahan
perangkat lunak tersebut. Akibatnya, auditor harus mempertimbangkan pelaksanaan
pengujian pengendalian aplikasi selama audit tahun berjalan.
c.

Memahami Pengendalian Umum Klien

Biasanya auditor memperoleh informasi tentang pengendalian umum dan aplikasi melalui
cara-cara berikut:

Wawancara dengan personi TI dan para pemakai kunci

Memeriksa dokumentasi sistem seperti bagan arus, manual pemakai, permintaan perubahan
program, dan hasil pengujian

Mereview kuesionare terinci yang diseslesaikan oleh staff TI

Dalam kebanyakan kasus, auditor harus menggunakan beberapa dari pendekatan tersebut
karerna masing-masing memberikan informasi yang berbeda. contoh, wwawancara dengan
CIO dan analisis sistem menghasilkan informasi yang bermanfaat tentang pengoperasian
fungsi IT secara keseluruhan, luas pengembangan perangkat lunak dan perubahan perangkat
keras yang dilakukan pada perangkat lunak aplikasi akuntansi, serta tinjauan umum atas
perubahan yang direncanakan. Review atas permintaan perubahan program perangkat lunak
aplikasi. Kuesionare akan membantu auditor untuk mengidentifikasi pengendalian internal
yang khusus.

2.5.3

Pengaruh Pengendalian IT terhadap resiko pengendalian dan pengujian Substantif

a. Mengaitkan Pengendalian TI dengan tujuan audit yang berkaitan dengan transaksi

Biasanya auditor tidak menghubungkan pengendalian dan definisi pengendalian
umum dengan tujuan audit khusus yang berkaitan dengan transaksi. Karena pengendalian
umum mempengaruhi tujuan audit dalam beberapa siklus, maka pengendalian umumnya
tidak efektif, kemampuan auditor dalam mengguanakan pengendalian aplikasi untuk
mengurangi resiko pengendalian pada semua siklus akan berkurang. Sebaliknya, jika
pengendalian umum efektif, kemampuan auditor dalam menggunakan pengendalian aplikasi
pada semua siklus yang meningkat.
Auditor dapat menggunakan matrix resiko pengendalian, guna membantu
mengidentifikasi pengendalian manual maupun pengendalian aplikasi yang terotomatisasi
dan defisiensi pengendalian bagi settiap tujuan audit yang terkait. Sebagai contoh, mencegah
pembayaran kepada karayawan yang fiktif, pembandingan nomor identifikasi karyawan yang
telah diinput dalam computer dengan file induk karyawan dapat mengurangi resiko
pengendalian untuk tujuan keterjadian pada transaski penggajian.
b. Pengaruh Pengendalian TI terhadap Pengujian Substantif
Setelah mengidentifikasi pengendalian aplikasi khusus yang dapat digunakan untuk
mengurangi risiko pengendalian aplikasi khusus yang dapat digunakan untuk mengurangi

risisko pengendalian, auditor lalu mengurangi pengujian substantive. Karena pengendalian

aplikasi terotomatisasi bersifa sistematis, hal itu akan memungkinkan auditor mengurangi
ukuran sample yang digunakan untuk menguji pengendalian tersebut baik dalam audit
laporan keuangan maupun audit pengendalian intern atas pelaporan keuangan. Auditor juga
dapat menggunakan pengujian tahun sebelumnya atas pengendalian yang terotomatisasi.
Auditor sering sekali menggunakan peranngkat lunaknya sendiri untuk melakukan pengujian
pengendalian yang bersangkutan.
Ada beberapa teknik audit untuk mengetes automated control. Auditor dapat
menggunakan tiga kategori berikut dalam menguji pengendalian biasa juga disebut sebagai
teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT) yang terdiri
atas:
1. Auditing Around the Computer
Dalam pendekatan audit disekitar computer, auditor dapat melangkah kepada
perumusan pendapat dengan hanya menelaah struktur pengendalian dan melaksanakan
pengujian transaksi dan procedur verifikasi saldo perkiraan dengan cara sama seperti pada
sistem manual (bukan sistem informasi berbasis computer). Auditor tidak perlu menguji
pengendalian sistem aplikasi saja. Dari penilaian terhadap kualitas dan keseuaian antara input
dan output sistem aplikasi ini, auditor dapat mengambil kesimpulan tentang kualitas
pemrosesan data yang dilakukan klien (meskipun proses program computer yang tidak
diperiksa) oleh karena itu auditor harus dapat mengakses ke dokumen sumber yang cukup
dan daftar laporan atau keluaran yang terinci dalam bentuk yang dapat dibaca. Kuncinya
adalah pada penelusuran transaksi terpilih mulai dari dokumen sumber sampai ke bagan
perkiraan (akun) dan laporan keuangan. Untuk menerapkan metode ini, pertama auditor
meninjau dan menguji pengendalian masukan (input controls), kemudian menghitung hasil
yang diperkirakan (expected) dari proses transaksi yang terpilih, lalu auditor membandingkan
hasil sesungguhnya seperti yang tampak dalam laporan yang dihasilkan dari hasil yang
dihitung secara manual (untuk mendapatkan keyakinan bahwa proses atau program
komputernya sudah benar).

Disamping mungkin masalah pengetahuan auditor mengenaiaspek teknis computer

atau keterbatasan lain, metode audit disekitar computer tersebut dilaksanakan untuk situasi:
1. Dokumen sumber tersedia dalam bentuk kertas dalam bentuk kertas (bahasa non mesin),
artinya masih kasat mata dan dilihat secara visual
2. Dokumen di simpan dalam file dengan cara yang mudah ditemukan
3. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap
transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
4. Sistem computer yang diterapkan masih sederhana
5. Sistem computer yang diterapkan masih menggunakan software yang umum digunakan
secara masal
Keunggulan metode audit disekitar computer:
6. Pelaksanaan audit lebih sederhana
7. Auditor yang memiliki pengetahuan minimal dibidang computer dapat dilatih dengan mudah
untuk melasanakan audit.
Kelemahannya adalah jika lingkungan berubah, maka kemungkinan sistem itu pun
akan berubah dan perlu penyesuaian sistem atau program-programnya, bahkan mungkin
struktur data/file, sehingga auditor tidak dapat menilai/menelaah apakah sistem masih
berjalan baik.
2. Auditing With the Computer
Dalam audit menggunakan computer atau audit berbantuan computer terdapat
beberapa cara yang digunakan dalam melaksanakan prosedurnya:
a.

Memproses/melakukan pengujian dari computer klien itu sendiri sebagai bagian dari

pengujian pengendalian / subtantif

b.

Menggunakan computer untuk melaksanakan audit yang terpisah dari catatan klien,

mengambil data/ file yang dimilki klien untuk dites dengan kantor lain ( computer audit)
c.

Menggunakan computer sebagai alat bantu audit dengan menyangkut:

1. Dalam pengujian data/file/yang dipergunakan dan dimiliki oleh perusahaan ( dibantu dengan
software perusahaan)

2. Menggunakan computer untuk dukungan audit, misalnya untuk administrasi dan suratmenyurat, pembuatan table jadwal, sampling, dan berbagai kegiatan office automatations.
Pada pendekatan ini audit dilakukan dengan menggunakan computer dan software untuk
mengotomatisasi prosedur pelaksanaan audit. pendekatan ini dapat menggunakan beberapa
computer assisted audit technique misalnya sistem control audit review file (SCARF), atau
Snapshoot (pemotretan cepat) dan sebagainya.
Pendekatan audit berbantuan computer merupakan cara audit yang bermanfaat khususnya
dalam substantive atas file dan record perusahaan. Software audit yang digunakan merupakan
program computer yang digunakan oleh auditor untuk melakukan pengujian atas keandalan
record atau file/data perushaan. Software audit yang digunakan dapat digolongkan menjadi:
1. Perangkat lunak audit khusus (SAS, Specialized Audit Software), 2. Perangkat lunak audit
yang berlaku umu (GAS, Generalized Audit Software)
Specialized Audit Software merupakan salah satu program audit yang dirancang khusus oleh
auditor agar sesuai dengan situasi audit tertentu. Software audit ini jarang digunakan karena
memerlukan waktu, mahal, dan memerlukan keahlian auditor dalam bidang computer. Cara
penanggulangannya dapat dengan program yang relevan dengan tujuan audit yang saat itu
digunakan perusahaan.
Sedangkan GAS (Generalizaed Audit Software) terdiri dari program computer yang secara
bersama melaaksanakan bermacam fungsi pemrosessan data dan manipulasi data sebagai alat
bantu audit. GAS lazimnya dibuat software house sebagai suatu package software yang dijual
atau digunakan untuk berbagai kantor akuntan untuk melaksanakan tugas audit dan dapat
digunakan di berbagai perusahaan. Program-program yang digeneralisasi mempunyai dua
manfaat:
3. Program ini dikembangkan sedemikian rupa sehingga memudahkan pelatihan staff auditor
dalam menggunakan program. Dalam hal ini auditor hanya perlu memeliki sedikit
pengetahuan tentang computer dan sistem informasi berbasis computer tidak perlu memiliki
pengetahuan tentang pemrograman.

4. Dapat diterapkan pada berbagai perusahaan dalam lingkup tugas-tugas yang lebih besar atau
lebih kecil tanpa harus mengeluarkan biaya dan mengalami kesulitan dalam mengembangkan
programnya.
Kelemahan utama sistem audit berbasis computer yang digeneralisasi adalah upaya
dan biaya pengembangan tertentu relative besar dan mungkin memerlukan keahlian teknis
yang memadai, karena antara lain software yang dirancang tersebut harus dirancang untuk
dapat digunakan secara luwesuntuk berbagai perusahaan dan berbagai type testing. Oleh
karena itu pembuat software itu lazimnya membuat software house. Selain itu karena
software ini bersifat generalized maka tentu tidak akan dapat memenuhi kebutuhan spesifik
tiap auditor secara individu, karena bagaimanapun produk tersebut adalah bersifat paket.
Audit berbantuan dengan computer untuk kegiatan dukungan paling sering digunakan
meskipun sistem klien tidak berbasis computer. selain untuk kegiatan administrative,
sampling, penjadwalan, penyusunan program audit dan kuesionare serta pencatatanpencatatan dan pelaporan hasil audit, computer biasanya juga digunakan oleh auditor atau
pegawai perusahan klien untuk melakukan analisis atau pengikhtisaranm, pembuatan grafik,
dan table-tabel tenatang audit misalnya Microsoft excel.
Salah satu kegiatan yang dpaat dilakukan misalnya data neraca saldo klien di input
kedalam sistem computer, lalu auditor menggunakan data tersebut untuk menghitung atau
menggunakan prosedur analisis. Computer juga dapat dipergunakan untuk:
a.

Penyususnan neraca saldo dan skedul utama, yaitu misalnya pada saat audit dilakukan,
perkiraan-perkiraan neraca saldo dapat secara otomatis dijumlah atau digabungkan untuk
menyusun naskah laporan keuangan.

b. Penyusunan kertas kerja, misalnya untuk merekam pembuktian saldo kas bank, konfirmasi,
pengikhtisaran piutang, ikhtisar aktiva tetap, dan penyusutan.
c.

Prosedur analitis

d. Mempermudah melakukan perbandingan jumlah-jumlah ratio dan analisis lain.

e.

Penyusunan program audit. misalnya mengetik program audit dengan fasilitas pengolah kata

f.

Memahami struktur penngendalian intern. Dapat dialkukan dengan pengolah kata (secara
naratif), dengan membuat pertanyaan atau membuat bagan arus.

g. Sampling audit. menggunakan perangkat lunak khusus untuk merancang, memilih dan
mengevaluasi sampel audit dan berbagai teknik statistic dan non statistic atau dengan table
kerja elektronik.
h. Pengaturann, penugasan dan perencanaan waktu, kegiatan ini dapat dilakukan dengan
fasilitas pengolah kata atau table kerja elektronik.
i.

Penyusunan

perangkat

lunak

audit.

computer

digunakan

untuk

mempermudah

pengembanngan spesifik GAS.

Sering kali tugas-tugas spesifik yang dilakukan auditor dengan computer bergantung
pada jenis perangkat lunak yang tersedia. Jenis-jenis perangkat lunak multi-guna komersial,
contohnya program table lembaran kerja (spread-sheet), dan pengolah kata (word processor).
Spread-sheet dapat menyajikan dan memanipulasi data dalam bentuk matrix dengan kolomkolom dan baris-baris yang mirip dengan neraca lajur.
3. Audit Through the Computer
Teknik ini focus pada testing tahapan pemrosesan computerised, logic program, edit
routines dan program controls. Pendekatan ini mengasumsikan bahwa jika program
pemrosesan dikembangkan dengan baik, dan memenuhi edit routines dan programme check
yang memadai, maka error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi.
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang
diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga
menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Sekarang keahlian dalam
mengaudit IT juga memerlukan sertifikasi sendiri, yaitu CISA (Certified Information System
Audit). Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines memberikan
penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit, dan
prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan
audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa
menggunakan judgement profesional ketika menggunakan guidance dan procedure.

Standar yang aplicable untuk audit IT adalah terdiri dari 11 standar yaitu;

Audit charter,

Audit Independent,

Profesional Ethic and standard, S4.Profesional competence,

Planning,

Performance of Audit Work,

Reporting.

Follow-Up Activity,

Irregularities and Irregular Act,

IT Governance dan

Use of Risk Assestment in Audit Planning

Pendekatan Audit kedalam sistem komputerisasi cocok dalam kondisi:

a.

Sistem operasi computer mengakses input yang cukup besar dan memperoleh input yang
cukup besar pula. Sehingga memperluas audit untuk menelliti keabsahan

b. Bagian penting pengendalian intern perusahaan terdapat didalam komputerisasi yang

digunakan.
c.

Sistem logika computer sangat kompleks dan memiliki banyak fasilitas pendukung.

d. Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga perlu
mempertimbangkan antara biaya dan manfaatnya.
Keunggulan dalam melakukan audit melalui computer adalah:
a.

Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian
terhadap sistem computer

b. Auditor akan merasa lebih yakin terhadap kebenaran hasilnya.

c.

Auditor dapat menilai kemampuan sistem computer tersebut untuk mengahadapi perubahan
lingkungan yang akan datang
Kelemahan dari kegiatan ini adalah memerlukan biaya yang besar dan harus di
tangani oleh auditor atau pekerja-pekerja yang terampil.
Banyak organisasi yang memiliki lingkungan IT yang tidak rumit sering kali sangat
bergantung pada mikrokomputer untuk melakukan fungsi-fungsi sistem akuntansi.
Penggunaan mikrokomputer dapat menimbulkan pertimbangan audit yang unik berikut:

1. Program perangkat lunak dalam komputer mikro dapat diisikan pada hard-drive komputer
dalam format yang tidak mengijin kan perubahan oleh personil klien

2. Akses ke arsip induk oleh orang-orang yang tidak sah

3. Kekurangan perlindungan kata sandi arsip data
4. Hilangnya data dan program oleh karena virus komputer, yang dapat menyebar program lain
dan sistem keseluruhan
Auditor menggunakan tiga pendekatan pengujian ketika mengaudit melalui computer :
1) Pendekatan Data Pengujian.
Auditor memproses data pengujiannya sendiri dengan menggunakan sistem computer
klien dan program aplikasi untuk menentukan apakah pengendalian yang terotomatisasi
memproses dengan tepat data pengujian.
Apabila menggunakan pendekatan data pengujian, auditor mempunyai tiga
pertimbangan utama:
a.

Data pengujian harus mencakup semua kondisi yang relevan yag ingin diuji auditor. Auditor
merancang data pengujian untuk menguji semua pengendalian kunci berbasis computer dan
memasukkan data yang realistic yang mungkin akan menjadi bagian dari pemrosesan normal
klien, termasuk transaksi sah dan tidak sah.

b. Program aplikasi yang diuji oleh data pengujian auditor harus sama dengan yang digunakan
klien selama tahun berjalan. Salah satu pendekatan adalah menjalankan data pengujian atas
dasar kejutan, mungkin secara acak selama tahun berjalan, walapun agak mahal dan
mengahabiskan waktu. Metode lainnya adalah mengandalkan pengendalian umum klien pada
fungsi pengembangan sistem dan pustakawan guna memastikan bahwa program yang diuji
sama dengan yang digunkaan dalam pemrosesan normal.
c.

Data pebgujian harus dieleminasi dari catatan klien. Jika auditor memproses data pengujian
sedangkan klien memproses transaksinya sendiri, auditor harus menghilangkan data
pengujian file induk klien setelah pengujian itu selesai. Auditor dapat melakukan hal ini
dengan mengembangkan dan memrosesan data yang membalik pengaruh data lpengujian itu.

2) Simulasi Paralel
Auditor sering kali menggunakan perangkat lunak yang dikendaliakan auditor untuk
melaksanakan operasi yang sama dengan yang dilaksanakan oleh perangkat lunak klien,
dengan menggunakan file data yang sama. Tujuannya adalah untuk menentukan keefektifan

pengendalian yang terotomatisasi dan untuk mendapatkan bukti tentang saldo akun
elektronik, pendekatan pengujian ini disebut pendekatan simulasi parallel.
Biasanya auditor melakukan pengujian simulasi parallel dengan menggunakan
perangkat lunak audit generalisasi (generalized audit software GAS),
3) Pendekatan Audit Modul Tertanam
Auditor menyisipkan modul audit dalam sistem aplikasi klien untuk mengidentifikasi
jenis transaksi tertentu. Dalam beberapa kasus, auditor akan menyalin transaksi yang
diidentifikasi pada file data terpisah, dan kemudian memproses transaksi itu dengan
menggunakan simulasi parallel untuk menduplikasi fungsi yang dijalankan oleh sistem klien.
Lalu auditor membandingkan output klien dengan output auditor.
Pendekatan modul tertanam memungkinkan auditor untuk terus mengaudit transaksi
dengan mengidentifikasi transaksi actual yang diproses oleh klien yang dibandingkan dengan
data dan pendekatan simulasi parallel, yang haya memperkenankan pengujian sela.

2.6 Hubungan Audit Keuangan dan Audit IT

Tujuan dari audit laporan keuangan adalah untuk memastikan bahwa laporan
keuangan dari suatu organisasi telah disajikan sesuai dengan prinsip akuntansi yang berlaku
umum (GAAP). Auditor laporan keuangan, dalam suatu penugasan audit akan menganalisis
system pengendalian internal dari suatu organisasi untuk menilai sejauh mana system
tersebut telah beroperasi secara efektif. Sebagai contoh, sistem pengendalian internal
mungkin menghendaki pemisahan tugas sehubungan dengan pengolahan piutang usaha.
Auditor keuangan mungkin memeriksa deskripsi pekerjaan untuk memastikan bahwa ada
pemisahan tugas. Tingkat dimana organisasi memiliki sistem pengendalian internal yang
efektif yang mempengaruhi lingkup pekerjaan yang harus dilakukan oleh auditor. Pekerjaan
ini mencakup pengujian substantif atau verifikasi transaksi dan saldo rekening.
Banyak organisasi telah meningkatkan ketergantungan mereka pada teknologi
komputer dalam pengolahan transaksi dan informasi pelaporan. Sehingga hal tersebut
membuat auditor semakin sulit untuk mengabaikan TI dalam audit mereka. Ketika sistem
komputer yang relatif sederhana dan pemrosesan komputer dalam satu sistem tidak

terintegrasi dengan yang di sistem lain, maka memungkinkan bagi auditor untuk mengaudit
"sekitar" komputer. Proses ini mensyaratkan pemeriksaan input dan output dan dengan
asumsi bahwa kewajaran laporan berdasarkan data input berada dalam pemrosesan komputer
yang tepat. Lingkungan IT yang begitu kompleks saat ini membutuhkan evaluasi sistem
informasi sebagai bagian dari audit keuangan.
Proses

audit

laporan

keuangan

dan

pengidentifikasian

kegiatan

yang

direkomendasikan oleh auditor IT pada setiap tahap. Perhatikan bahwa auditor TI dapat
bekerja berbarengan dengan auditor keuangan. Total dari pekerjaan auditor TI tidak
tergantung pada dukungan permintaan auditor keuangan. Sebagai contoh, auditor keuangan
dapat melakukan semua pengujian substantif sendiri. Atau, mereka mungkin akan meminta
auditor IT untuk membantu mereka dengan menggunakan teknik audit berbantuan komputer
(CAATs). Secara khusus, auditor TI dapat melakukan analisis data rutin atas file piutang
usaha untuk di data kembali atau dilakukan analisis data terkomputerisasi untuk menghitung
ulang depresiasi aset.
Beberapa standar profesional dan kerangka kerja mengakui pentingnya audit sistem
informasi dalam audit keuangan. Sebagai contoh, pada tahun 2001, Dewan Standar Audit
(ASB) dari American Institute Akuntan Publik (AICPA) menerbitkan Pernyataan Standar
Audit (SAS) No 94, Pengaruh Teknologi Informasi terhadap pertimbangan pengendalian
internal Auditor dalam Laporan Keuangan Audit. SAS No 94 mencatat bahwa auditor
memerlukan keterampilan khusus untuk dapat memahami control IT dan dampak IT pada
audit laporan keuangan. Auditor dapat memperoleh keterampilan-keterampilan tersebut
seorang diri atau berdasarkan bantuan dari auditor IT
Peraturan baru untuk audit, seperti Sarbanes-Oxley Act 2002, juga mempengaruhi
hubungan antara audit keuangan dan audit IT. Peraturan ini diciptakan untuk memulihkan
kepercayaan dalam laporan keuangan, mengamanatkan bahwa manajemen menilai dan
membuat pernyataan tentang pengendalian internal. Auditor perlu menguji pengendalian
mereka dan memberikan jaminan mengenai pernyataan manajemen.

2.6.1 Undang Undang Dalam Audit pada Tekhnologi Informasi

1. ISO / IEC 17799 and BS7799

Isi ISO 17799, meliputi :

10 control clauses (10 pasal pengamatan)

36 control objectives (36 objek/sasaran pengamanan)

127 controls securiy (127 pengawasan keamanan)

10 control clouse tersebut, antara lain:

a.

Security Policy

b. System Access Control

c.

Communication & Operations Management

d. System Development and Maintenance

e.

Physical and Environmental Security

f.

Compliance

g. Personnel Security
h. Security Organization (Information Security)
i.

Asset Classification and Control

j.

Business Continuity Management (BCM)

Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar
kontinuitas

bisnis

dapat

dipertahankan

dengan

mengamankan

dan

menjaga

integritas/keutuhan informasi informasi krusial yang dimiliki oleh perusahaan. Security

Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah non teknis salah
satunya penggunaan password oleh lebih dari satu orang. Hal ini menunjukan tidak adanya
kepatuhan dalam menerapkan sistem keamanan informasi. Harus dilakukan inventarisasi
data-data perusahaan. Selanjutnya dibuat peraturan yang melibatkan semua departemen
sehingga peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan
peraturan tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan tersebut dapat
diterapkan. Security Policy meliputi berbagai aspek, yaitu :
a. Information security infrastructure
b. Information security policy

System Access Control (sistem kontrol akses), mengendalikan/membatasi akses user

terhadap informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian
secara mobile computing ataupun tele-networking. Mengontrol tata cara akses terhadap
informasi dan sumber daya yang ada meliputi berbagai aspek, yaitu :
a. Access control.
b. User Access Management.
c. User Responsibilities.
d. Network Access Control
e. Operation System access Control
f. Application Access Control.
g. Monitor system Access and use.
h. Mobile Computing and Telenetworking.
Communication and Operations Management (manajemen komunikasi dan
operasi), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui
perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang
terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Pengaturan
tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu :
a. Operational procedures and reponsibilities.
b. System Planning and acceptance.
c. Protection against malicious software.
d. Housekeeping
e. Network Management.
f. Media handling and security.
g. Exchange of Information and software.
System

Development

pemeliharaan), memastikan

and

bahwa

Maintenance (pengembangan

sistem

operasi

maupun

aplikasi

sistem

dan

yang

baru

diimplementasikan mampu bersinergi melalui verifikasi/validasi terlebih dahulu sebelum

diluncurkan ke live environment. Penelitian untuk pengembangan dan perawatan sistem yang
ada meliputi berbagai aspek, yaitu :

a. Security requirements of system.

b. Security in application system.
c. Cryptographic control
d. Security of system files
e. Security in development and support process.
Physical and Environmental Security (keamanan fisik dan lingkungan),membahas
keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/ kerusakan
data yang diakibatkan oleh lingkungan, termasuk bencana alam dan pencurian data dalam
media penyimpanan atau fasilitas informasi yang lain. Aspek yang dibahas antara lain:
a. Secure Areas
b. Equipment security
c. General Control
Compliance (penyesuaian), memastikan

implementasi

kebijakan-kebijakan

keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk persyaratan
kontraktual melalui audit sistem secara berkala. Kepatuhan yang mengarah kepada
pembentukan prosedur dan aturan aturan sesuai dengan hukum yang berlaku meliputi
berbagai aspek, yaitu :
a. Compliance with legal requirements
b. Reviews of security policy and technical comliance.
c. System audit and consideration
Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko
dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia (human
error), sehingga mampu mengurangi human error dan manipulasi data dalam pengoperasian
sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness agar
setiap user mampu menjaga keamanan informasi dan data dalam lingkup kerja masingmasing. Personnel Security meliputi berbagai aspek, yaitu :
a. Security in Job Definition and Resourcing.
b. User Training.
c. Responding to Security Incidens and Malfunction.

Security Organization (organisasi keamanan), mengatur tentang keamanan secara

global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem informasi
internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap pengolahan
informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu :
a. Security of third party access
b. Outsourcing
Asset Classification and Control (klasifikasi dan kontrol aset),memberikan
perlindungan terhadap aset berusahaan dan aset informasi berdasarkan level proteksi yang
ditentukan. Membahas tentang penjagaan aset yang ada meliputi berbagai aspek,
diantaranya :
a. Accountability for Assets.
b. Information Classification.
Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi
resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa mengakibatkan
major failure atau resiko kegagalan yang utama ataupun disaster atau kejadian buruk
yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk kelangsungan proses
bisnis, dengan mempertimbangkan:
a. Aspects of business continuity management
Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh
lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah
terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi
organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta
pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih
efektif dan efisien. 36 objek pengamatan/pengawasan keamanan merupakan uraian dari aspek
10 control clouse tersebut.

Gambar 2.4 Struktur dari kesepuluh wilayah standar (10 control clouse)
Aset dan aspek yang dinilai dalam ISO 17799
Information assets (aset informasi),
Software assets (aset perangkat lunak yang dimiliki),
Physical assets (aset fisik) dan
Services (pelayanan).
2. ISO 17799 merupakan suatu struktur dan rekomendasi pedoman yang diakui secara
internasional untuk keamanan informasi.
3. Suatu proses keamanan informasi yang menyeluruh yang dapat diusahakan atau di
implementasikan bagi perusahaan agar memperoleh manfaat keamanan yang diinginkan.
4. Proses evaluasi, implementasi, pemeliharaan dan pengaturan keamanan informasi yang
singkat.
5. Upaya penggunaan oleh konsorsium perusahaan untuk memenuhi kebutuhan industri.
6. ISO 17799 merupakan proses yang seimbang antara fisik, keamanan secara teknikal dan
prosedur, serta keamanan pribadi.

ISO-17799 bukan merupakan:

7. Sebuah aturan atau ketetapan yang dikeluarkan pemerintah
8. Sebuah standard teknis atau standard yang berdasarkan pada orientasi produk/teknologi.
9. Sebuah metodologi evaluasi perlengkapan (alat) seperti kriteria umum (CC/ISO 15408),

yang disepakati untuk fungsi tertentu atau jaminan yang terdapat pada peralatan yang
diproduksi khusus.
10. Bagian General Accepted System Security Principles atau GASSP, yang merupakan
bagian dari kumpulan penerapan sistem keamanan yang terbaik.
11. Bagian dari 5 point yang terdapat di Guidelines for the Management of IT Security, atau
GMITS / ISO-13335, yang menyediakan sebuah konsep kerangka kerja (framework) untuk
manajemen keamanan IT.
12. Sistem yang menuntun pada sertifikasi keamanan (untuk saat ini, hanya BS 7799-2 dan
derivatif nasional yang menyediakan sebuah proses sertifikasi).
13. ISO 17799 tidak mengkhususkan obligasi manapun yang berhubungan dengan metode
penaksiran resiko. Cukup memilih apa saja sesuai dengan kebutuhan perusahaan.
Keuntungan menerapkan ISO-17799
Keuntungan utama dari BS7799/ISO17799 berhubungan dengan kepercayaan publik. Sama
seperti
ISO 9000 yang mencerminkan jaminan kualitas.

Standar ini merupakan tanda kepercayaan dalam seluruh keamanan perusahaan.

Manajemen kebijakan terpusat dan prosedur.

Menjamin layanan informasi yang tepat guna.

Mengurangi biaya manajemen,

Dokumentasi yang lengkap atas segala perubahan/revisi.

Suatu metoda untuk menentukan target dan mengusulkan peningkatan.

Basis untuk standard keamanan informasi internal perusahaan

Suatu organisasi yang menerapkan ISO 17799 akan mempunyai suatu alat untuk
mengukur, mengatur dan mengendalikan informasi yang penting bagi operasional sistem
mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan pelanggan, efisiensi dan
efektifitas.

2.6.2

Control Objectives for Information and related Technology (CobiT)

Dibuat oleh organisasi ISACA (Information Systems Audit and Control Association)

dan dikembangkan oleh IT Governance Institute

Kualifikasi: Pengalaman dan pengetahuan untuk mengidentifikasi, mengevaluasi, dan

memberikan rekomendasi berupa solusi untuk mengurangi kelemahan sistem IT dan
Mengeluarkan sertifikasi untuk personal auditor
Misi dari Cobit sendiri adalah Melakukan penelitian, pengembangan, publikasi dan
promosi terhadap control objective dari teknologi informasi yang secara umum diterima di
lingkungan internasional untuk pemakaian sehari-hari oleh manager dan auditor.
Lingkup COBIT ada 4 domain yaitu:
Planning & Organization
Acquisition & Implementation
Delivery & Support
Monitoring
1. ISO TR 13335
2. T Baseline Protection Manual
3. ITSEC / Common Criteria
4. Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
5. The Sicheres Internet Task Force [Task Force Sicheres Internet]
6. The quality seal and product audit scheme operated by the Schleswig-Holstein Independent
State Centre for Data Privacy Protection (ULD)
7. ISO 9000

2.7 Peranan Teknologi Informasi Terhadap Audit Sistem Informasi Komputerisasi

Akuntansi
Peranan teknologi informasi pada aktivitas manusia saat ini memang begitu besar.
Teknologi informasi telah menjadi fasilitator utama bagi kegiatan-kegiatan bisnis yang,
memberikan andil besar terhadap perubahanperubahan mendasar bagi struktur, operasi dan
manajemen organisasi. Jenis pekerjaan dan tipe pekerja yang dominan di Jaman Teknologi
Informasi adalah otonomi dan wewenang yang lebih besar dalam organisasi.
Boundaryless organization adalah kondisi organisasi yang digunakan dalam teknolog
informasi dengan batas-batas horisontal vertikal, eksternal dan geografis yang sehat

Menipisnya batas horisontal mengakibatkan berkurangnya birokrasi sehingga organisasi

menjadi lebih datar, dan karyawan menjadilebih berdaya (empowered employees) dan
menjadikan terwujudnya kerja sama lintas fungsional dalam memenuhi kebutuhan customers
yang kompleks. Menipisnya batas eksternal menjadikan perusahaan lebih berfokus ke
penyediaan produk dan jasa yang menjadi kompetensi intinya (care competence). Untuk
memenuhi kebutuhan customers yang kompleks, perusahaan membangun jejar ing organisasi
(organization network), yang di dalamnya setiap perusahaan menjadi anggota jejaring
sehingga mampu menghasilkan value terbaik bagi customers, karena koordinasi tidak lagi
dijalankan melalui command and control mode namun koordinasi dilaksanakan melalui
komunikasi, persuasi dan kepercayaan (trust). Kekohesivan organisasi yang menggunakan
tim lintas fungsional, dan yang mempekerjakan karyawan yang berdaya, serta yang
menggunakan jejaring organisasi dalam mewujudkan tujuan organisasi ditentukan dari
seberapa jelas misi dan visi organisasi dirumuskan dan keberhasilan pengomunikasian
strategi tersebut kepada seluruh personel organisasi dan seluruh organisasi dalam jejaring.
Pemberdayaan karyawan yang dilandasi oleh trust-based relationship antar manajer dan
karyawan menjadikan Information sharing dapat meningkatkan tuntutan tentang otonomi dan
wewenang di kalangan karyawan,Persuasi menjadi pilihan untuk menggantikan komando,
karena knowledge workers menjadi dominan dalam mewujudkan visi organisasi. dalam
memacu komitmen karyawan untuk mengubah strategi menjadi tindakan nyata.
Berkat teknologi ini, berbagai kemudahan dapat dirasakan oleh manusia seperti:

Teknologi

informasi

melakukan

otomasi

terhadap

suatu

tugas

atau

proses

yang menggantikan peran manusia.

Teknologi informasi berperan dalam restrukturisasi terhadap peran manusia yang melakukan
perubahan-perubahan terhadap sekumpulan tugas atau proses.

Teknologi informasi memiliki kemampuan untuk mengintegrasikan berbagai bagian yang

berbeda dalam organisasi dan menyediakan banyak informasi ke manajer

Teknologi informasi juga memengaruhi antarmuka-antarmuka organisasi dengan lingkungan,

seperti pelanggan dan pemasok.

Teknologi informasi dapat digunakan membentuk strategi untuk menuju keunggulan yang
kompetitif (OBrien, 1996), antara lain:

1) Strategi biaya: meminimalisir biaya/memberikan harga yang lebih murah terhadap

pelanggan, menurunkan biaya dari pemasok.
2) Strategi diferansiasi: mengembangkan cara-cara untuk membedakan produk/ jasa yang
dihasilkan perusahaan terhadap pesaing sehingga pelanggan menggunakan produk/jasa
karena adanya manfaat atau fitur yang unik.
3) Strategi inovasi: memperkenalkan produk/jasa yang unik, atau mem buat perubahan yang
radikal dalam proses bisnis yang menyebabkan perubahan-perubahan yang mendasar dalam
pengelolaan bisnis.
4) Strategi pertumbuhan: mengembangkan kapasitas produksi secara signifikan, melakukan
ekspansi ke dalam pemasaran global, melakukan diversifikasi produk/jasa bam, atau
mengintegrasikan ke dalam produk/jasa yang terkait.
5) Strategi aliansi: membentuk hubungan dan aliansi bisnis yang baru dengan pelanggan
pemasok, pesaing, konsultan, dan lain-lain.

2.8. Fraud
2.8.1. Fraud Masalah Akuntansi Berbasis Komputer
Fraud dalam akuntansi adalah sebentuk tindakan, yang menyebabkan kesalahan pelaporan
dalam laporan keuangan. Menurut Websters NewDictionary, fraud (fraud) diartikan sebagai
fraud yang dilakukan secara sengaja yang menyebabkan seseorang menyerahkan hak milik atau
haknya yang sah menurut hukum. Agen Federal Bureau of Invesigation (FBI) menjelaskan
fraudsebagai konversi fraud dan usaha untuk mendaptkan uang atau hak milik dengan
mengungkapkan pretensi yang keliru: termasuk di dalamnya pencurian menggunakan cek
palsu, kecuali pemalsuan. (Farrell dan Franco, 1999). Fraud menyebabkan kerugian dalam
jumlah yang besar bagi dunia bisnis danmenimbulkan masalah moral di tempat kerja. Saat kita
kehilangan uang karenaditipu, maka konsekuensinya dapat sangat merugikan.
Kerugian akibat fraud merupakan masalah yang serius bagi perusahaan yang masih
memerlukan pengelolaan, pengendalian, dan pengawasan. Teknologi, tindak kejahatan dan

penegakan hukum terus digalakkan untuk mencegah tindak fraud ini, misalnyadengan
pengadaan alat pendeteksi tindak fraud yang semakin canggih, sehingga dapat mengetahui pihak-pihak yang
biasa melakukan fraud. Pelaku fraud biasanya menjumpai peluang untuk memanfaatkan kelemahan dalam
prosedur pengendalian dan selanjutnya mempelajari apakah imbalanpotensial yang ia akan
peroleh akan setimpal dengan hukuman manakala iatertangkap basah telah melakukan fraud.
Pencegahan fraud
, sebuah perusahaan harus memastikan bahwa peluang-peluang terjadinya fraud harus
diminimalkan: pencegahan fraud;Kedua, perusahaan harus memastikan bahwa para pelaku tindak fraud
yang berpotensi akan benar-benar ditangkap: penanggulangan fraud.Pengawasan fraud meliputi
pencarian bukti dan pengambilan laporan,penulisan laporan, dan pengakuan terhadap temuan. Peneliti
menyebutkan bahwa untuk menjalankan sebuah pemeriksaan tindak fraud, orang memerlukan keahliandan
kecakapan khusus untuk dapat mendeteksi dan menyelidiki suatu tindak fraudsecara efektif serta
pengetahuan tentang unsur-unsur hukum dan peraturan yang berlaku. Auditor berperan penting di dalam
mencegah dan mendeteksi fraud bisnis.Hasil survei dari Global e-fraud pada tahun 2001
menyebutkan bahwa banyak pakar yang percaya bahwa kejahatan yang berupa tindak fraud
telah mendapatkan sumbangan yang besar dari munculnya teknologi Internet dan ecommerce, sehingga dikenal istilah e-fraud. Tidak ada negara atau persuahaan yang kebal
terhadap ancaman penipu. KPMG melakukan survei terhadapperusahaan-perusahaan terbesar di
dunia pada 12 negara berbeda yang menjadi korban fraud elektronik terganggu masalah keamanan.
Survei ini dilakukanmenggunakan kuesioner yang dikirimkan kepada lebih dari 14.000 CEO, CIO,dan
eksekutif senior lainnya, namun hanya menghasilkan tingkat respon 9 persensaja. Survei mencakup
kepedulian terhadap resiko dan ancaman keamanan e.frauddan e-commerce, berikut ruang
lingkupnya dan persepsi konsumen tentangkeamanan e-commerce. Keterbatasan dari penelitian ini
ialah ruang lingkup risethanya pada perusahaan-perusahaan terbesar di 12 negara, sedangkan
peluangterjadinya fraud lebih besar terjadi pada perusahaan-perusahaan yang ukurannya lebih
kecil.Apostolou membahas tentang prosedur-prosedur pelaksanaan invetigasi fraud lewat Internet
dalam makalah empat seri. Pada bagian satu, ia menyajikanterminologi yang penting untuk
mengembangkan keahlian teknik-teknik investigasi fraud dan kajian singkat tentang
ketentuan sipil dan hukum.Penyelewengan aset, yang terdapat pada bagian dua, merupakan sebentuk

masalah yang serius yang dapat menyebabkan penyelewangan materi di dalam laporankeuangan.
Idenitifikasi berbagai skema penyelewangan aset merupakan bagiandari investigasi fraud.
Bagian ketiga memuat metode-metode pelaksanaan pembayaran ilegal dalam proses disbursement.
Sedangkan bagian keempat membahas prosedur-prosedur investigasi fraud. Investigasi fraud
terdiri atas pencarian informasi untuk membuktikan dan menggagalkan bukti alegasi.Rusch (2001)
membahas tentang pesatnya gelombang fraud melalui Internetdalam perdagangan berbasis elektronik
(e-commerce). Fraud terus muncul terkait dengan meluasnya legitimasi penggunaan Internet.
Rusch (2001) mengutip laporan dari International Chamber of Commerces Commercial
Crime Services Division bahwa fraud lewat Internet pada tahun 2000 mengalami kenaikan
yangdramatis, lebih dari dua kali dibandingkan tahun 1999. Data ini menyimpulkan bahwa
masalah fraud lewat media Internet menjadi permasalahan global baik dalam ruang lingkup maupun
dampaknya, karena para pelaku fraud dapat merencanakan dan menjalankan skema fraudnya dari mana pun
di dunia ini dankorban dapat berada di belahan dunia manapun. Penelitian dari Rusch (2001) inimenjelaskan
bahwa ketentuan tindak kejahatan yang berlaku bagi jenis-jenis lainkejahatan kerah putih, misalnya
konspirasi, fraud lewat surat (e-mail), fraud kartu kredit, fraud sekuritas, pencucian uang, dan
pencurian identitas, sama-samaberlaku bagi berbagai bentuk fraud lewat media Internet.Programprogram pencegahan fraud harus dicanangkan dan hingga sejauh ini belum ada reaksi yang tegas
terhadap tindak fraud semacam ini. Gejala-gejalaadanya fraud seringkali begitu jelas bagi
setiap orang yang peduli akan kejadiantersebut. Indikator-indikator semacam ini dapat
muncul oleh adanya pengendalianyang dijalankan oleh pihak manajemen, uji-uji yang
dijalankan oleh auditor dansumber-sumber lain baik di dalam maupun dari luar perusahaan.Jika
penyelidikan tindak fraud menemukan hal-hal yang tidak wajar/di luarkebiasaan, yang dapat
memberi dampak buruk bagi posisi keuangan dan hasiloperasi, maka auditor internal harus
menginformasikan temuan ini kepada jajaranmanajemen dan komite audit. Pihak-pihak yang
dicurigai tidak boleh dilaporkanhingga bukti yang sah telah terkumpul. Konfrontasi harus
dilakukan oleh orang-orang yang memiliki keahlian khusus dalam menyelidiki kasus
kejahatan, bukanoleh auditor internal. Penyelidikan atas suatu kasus dapat mencakup
tindakanoperasi,

pengintaian,

informasi(Apostolou,

2000c).

penempatan
-

Operasi

informan,

mata-mata

mata-mata,

(undercover)

dan
dapat

sumber
dilakukan

untuk membuktikan

adanya

tindak

operasipengintaian/mata-mata,

sebagai

fraud.
metode

Pihak
yang

pengadilan
dapat

menganggap

diterima

untuk

memperolehinformasi, karena metode ini sangat efektif dalam mengungkap tindak kejahatan.
-Pengintaian merupakan pengamatan yang dilakukan terus-menerus terhadaptindakantindakan pihak yang dicurigai untuk mengumpulkan bukti-buktiterpercaya. Hubungan
kepribadian pelaku fraud dengan kerugian perusahaan Apakah hubungan kepribadian pelaku tindak
fraud dengan ukuran kerugianyang diderita oleh perusahaan? Peneliti mengamati kepribadian
melalui umur,jenis kelamin, jabatan, latar belakang pendidikan, dan faktor kolusi. Pertama,
darisegi umur, pada survei tahun 2002 ACFE menemukan bahwa jika pelaku fraud semakin tua umurnya,
maka semakin mahal pula skema yang mereka buat.Kerugian yang diperoleh dari karyawan yang
lebih tua adalah 27 kali darikerugian yang dilakukan oleh penipu usia muda. Alasannya ialah,
bahwakaryawan yang lebih tua memiliki jabatan yang lebih seinor dengan aset yang lebih bebas. Biasanya
dalam sebuah perusahaan, mayoritas jabatan papan atas(manajerial dan di atasnya) dipegang oleh
laki-laki. Temuan dalam surveimelaporkan bahwa sebagian besar tindak fraud dilakukan oleh
laki-laki. Kerugianyang disebabkan oleh pelaku fraud berjenis kelamin laki-laki adalah tiga
kali lipatlebih besar dibandingkan pelaku perempuan, misalnya, laki-laki terlibat dalamtindak
fraud 75 persen dari perempuan. Semakin tinggi jabatan, semakin tinggi pula tingkat pendidikan.
ACFE melaporkan bahwa mereka yang memegang gelarsarjana ternyata menyebabkan 3,5 kali kerugian
dibandingkan mereka yang memiliki pendidikan di bawahnya, misalnya diploma atau SLTA. Jika
tingkatpendidikan pelaku fraud semakin tinggi, maka semakin besar pula angka kerugianyang diderita oleh
perusahaan/organisasi. Kolusi merupakan kegiatan kolaborasiilegal yang sangat sulit untuk
dicegah dan dideteksi, khususnya jika kolusi terjadiantara manajer dan karyawan. Hal ini karena
manajer biasanya diandalkan sebagaipersonil kunci bagi struktur pengendalian perusahaan.
Mereka dipercaya untuk mengidentifikasi dan mendeteksi fraud melalui fungsi mereka
Diposkan oleh Jihan Roza Mahar di 21.12

Evolusi E-Bisnis dan E-Commerce

Perdagangan elektronik (e-commerce) melibatkan penggunaan teknologi internet,

sistem jaringan, dan pemrosesan dan transmisi data elektronik. E-commerce
mewadahi aktivitas-aktivitas yang beragam, termasuk perdagangan barang dan jasa
secara elektronik, pengiriman online produk digital, transfer dana elektronik
(electronic funds transfer / EFT), perdagangan saham secara elektronik, dan
pemasaran langsung ke pelanggan. Dipacu oleh revolusi internet, e-commerce
secara dramatis memperluas dan mengalami perubahan radikal. Meskipun ecommerce menjanjikan kesempatan yang sangat besar untuk pelanggan dan bisnis,
implementasi dan pengendaliannya yang efektif adalah tantangan mendesak bagi
manajemen organisasi dan auditor.
Bila e-commerce berarti menggunakan TI untuk membeli dan menjual barang dan
jasa secara elektronik, maka e-business lebih luas maknanya, tidak hanya meliputi
pertukaran barang dan jasa, tapi juga semua bentuk bisnis yang dilakukan
menggunakan transmisi data dan informasi secara elektronik. Evolusi e-business
dimulai dari penggunaan pertukaran data elektronik (electronic data interchange /
EDI) oleh perusahaan-perusahaan untuk saling bertukar data bisnis. Evolusi ebusiness digambarkan dalam gambar

Perusahaan-perusahaan menggunakan EDI untuk mempercepat proses pembelian

dan penagihan dalam manajemen rantai persediaan. Pada awalnya aplikasi EDI
menggunakan jalur telekomunikasi biasa. Kemudian muncul perusahaan-perusahaan
yang khusus bergerak di bidang value added network (VAN) untuk EDI yang
menciptakan jaringan privat antar perusahaan. Dengan revolusi internet, perusahaan
beralih menerapkan EDI menggunakan internet dan tidak lagi bergantung pada VAN.
A. Internet
Internet merupakan jaringan-jaringan saling terkoneksi dari sistem-sistem komputer
yang dapat saling diakses. Internet adalah jaringan internasional dari local area
networks (LAN) dan komputer tanpa ada satu pun pengendalinya. Internet
dikembangkan pertama kali pada tahun 1969 sebagai proyek gabungan Defense
Advanced Research Project Agency (DARPA), agensi pertahanan militer Amerika
Serikat (AS), dengan empat universitas di AS.
Pertumbuhan internet menjadi sangat cepat karena tiga faktor berikut:
- Pada tahun 1995, perusahan-perusahaan telekomunikasi mengambil alih elemen
backbone internet dan melanjutkan peningkatan infrastruktur internet.
- Jasa-jasa online yang menyediakan e-mail yang memungkinkan pengguna
internet berkomunikasi satu sama lain.
- Pengembangan browser web berbasis grafis yang membuat pengaksesan internet
menjadi hal yang sederhana.
Masing-masing sistem komputer yang dihubungkan dengan inernet diberi alamat
internet protocol (IP) yang unitk. Alamat IP terdiri dari empat kelompok angka digit
yang dipisahkan dengan titik dan masing-masing kelompok bernilai dari angka 0
255. Contoh alamat IP: 202.159.14.45. Kelompok angka pertama mengidentifikasi
wilayah geografis, kelompok berikutnya adalah untuk entitas organisasi tertentu,
kelompok ketiga adalah kelompok identifikasi komputer atau jaringan, dan angka
terakhir menunjukkan komputer tertentu.

Aplikasi Internet
Ada dua jenis aplikasi internet yaitu:
- Intranet. Situs web intranet sama halnya dengan situs web lain, tapi dilindungi
firewall dari akses yang tidak sah dan didisain untuk dapat diakses hanya oleh
anggota organisasi.
- Ekstranet. Ekstranet adalah jaringan yang dikendalikan dengan password untuk
pengguna privat bukan publik. Ekstranet digunakan untuk memberikan akses di
antara basis data internal perusahaan rekanan.
Komponen
Teknologi yang mendasari internet termasuk komponen jaringan (terutama arsitektur
client-server dan server), browser web dan teknologi pengembangan web, teknologi
e-mail, file transfer protocol (FTP), dan transmission control protocol (TCP/IP). Berikut
ini adalah beberapa komponen penting internet:
- Protokol. Protokol adalah suatu kumpulan aturan-aturan yang mengendalikan
sistem-sistem yang berhubungan sehingga dapat beroperasi dan berkomunikasi
dengan kompatibel dan lancar. Protokol di internet diorganisasikan dalam bentuk
lapisan-lapisan. Lapisan tingkat paling bawah adalah TCP/IP. TCP/IP bertugas
memastikan bahwa paket-paket data elektronik dikirimkan dan diterima dengan
benar dari satu sistem komputer ke sistem komputer yang lain. Protokol yang
tingkatannya lebih tinggi adalah:
FTP, digunakan untuk memuat file (upload) dan mengambil file (download).
Simple Mail Transfer Protocol (SMTP), digunakan untuk mengirim e-mail.
TELNET, untuk emulasi terminal jaringan.
Hypertext Transmission Protocol (HTTP), adalah standar transmisi data melalui
World Wide Web, komponen grafis internet.
- Server. Server adalah hardware dan software yang selalu berjalan secara konstan
dan melayani pertukaran informasi dengan client. Beberapa jenis server yang
penting dalam internet:
Server Email, bertugas sebagai kotak dan kantor pos elektronik yang menyimpan
email yang masuk dan mengirimkan email ke server email lain sesuai alamat email
yang dituju.
Server File, bertugas untuk melayani penyimpanan dan pengambilan file pada
komputer remote untuk pengguna yang sah.
Server Web, tempat menyimpan halaman dan program web organisasi yang
menerima permintaan jaringan dan mengirim file berformat hypertext markup
language (HTML) sebagai responnya.
HTML dan XML
HTML adalah bahasa format yang menentukan penyajian informasi melalui Web dan
menjadi dasar untuk pengembangan aplikasi internet. Tetapi e-business
membutuhkan bahasa lain untuk memampukan transmisi dan manipulasi informasi
melalui internet. Bahasa ini adalah exstensible markup language (XML).
XML sama dengan HTML dalam hal markup language, tetapi berbeda dalam hal
HTML memiliki tag markup yang tetap, sedangkan tag XML bersifat dapat diciptakan
sendiri dan diperluas. Sehingga XML dapat digunakan untuk menciptakan tag-tag
khusus sesuai industri penggunanya.
Industri akuntansi dan keuangan saat ini sedang mengembangkan extensible
business reporting language (XBRL), yang digunakan untuk pelaporan bisnis melalui
internet. Tag XBRL memastikan pengambilan data dan memampukan manipulasi
informasi supaya dapat dilakukan komparasi antara data akuntansi dan keuangan
satu perusahaan dengan perusahaan lain.
Bahasa spesifik industri lain yang sedang dikembangkan adalah XML e-business
(ebXML). Bahasa standar ini akan memfasilitasi pertukaran data bisnis melalui rantai
persediaan internet dengan cara yang mirip dengan bahasa standar EDI (EDIFACT
dan X12).

B. E-Commerce
Jenis E-Commerce
E-commerce secara umum dibagi menjadi tiga kategori yang berbeda sebagai
berikut:
1. Business-to-consumer (B2C)
B2C adalah pertukaran jasa, informasi dan atau produk dari perusahaan kepada
konsumen menggunakan internet dan teknologi perdagangan elektronik.
2. Business-to-business (B2B)
B2B adalah pertukaran jasa, informasi dan atau produk dari perusahaan kepada
perusahaan menggunakan internet dan teknologi perdagangan elektronik. B2B pada
intinya adalah EDI melalui internet menggunakan web.
3. Consumer-to-consumer (C2C)
C2C adalah model bisnis e-commerce dimana konsumen menjual kepada konsumen
lain menggunakan perusahaan perantara (broker) atau lelang elektronik.
Komponen E-Commerce
Komponen-komponen e-commerce terdiri dari:
1. Sistem Pembayaran Elektronik
Sistem pembayaran elektronik diperlukan oleh sembarang bisnis yang menjual
barang dan jasa secara online. Bisnis membutuhkan beberapa metode untuk:
menerima pembayaran selama pelanggan sedang online, mengotentikasi pelanggan,
dan melindungi privasi detil transaksi.
2. Protokol
TCP/IP menyediakan protokol paling banyak yang diperlukan untuk melengkapi
transaksi bisnis secara online, tapi protokol khusus dibutuhkan untuk mengenkripsi
informasi transaksi dan memelihara privasi pelanggan. Protokol yang sering
digunakan adalah sebagai berikut:
SSL.
Salah satu protokol yang umum digunakan adalah Secure Socket Layer (SSL). SSL
menggunakan kunci, sertifikat/tanda tangan digital, dan enkripsi untuk melindungi
informasi dan mengotentikasi pelanggan dan penjual.
SET.
Protokol lain yang digunakan adalah Secure Electronic Transactions (SET), yang
disponsori oleh VISA, Master Card, dan American Express. Perbedaan antara SET dan
SSL adalah bahwa SET mengkonfirmasi ketersediaan dana selama dua phak sedang
online, dan melindungi infromasi di antara ketiga pihak. SET juga menggunakan
enkripsi yang kuat dan sertifikat/tanda tangan digital.
Risiko E-Commerce
Risiko e-commerce datang dari internal maupun eksternal sebagai berikut:
1. Internal
Mayoritas aktivitas menyimpang tidak datang dari penyusup luar, tetapi dari dalam,
dan tentu, kegagalan sistem umum. Ahli riset TI, The Gartner Group, mengestimasi
bahwa lebih dari 70% akses tidak sah ke sistem informasi dilakukan oleh pegawai,
yang lebih dari 95% penyusupan mengakibatkan kerugian keuangan yang signifikan.
Kecelakaan/Kegagalan Sistem.
Dari sekian banyak jenis risiko yang terkait dengan ketersediaan atau kerusakan
sistem, kegagalan sistem adalah alasan paling umum terjadinya masalah.
Akuntabilitas yang Tidak Efektif.
Meskipun kebijakan dikembangkan dengan tujuan baik, dan banyak prosedur efektif
disusun secara seksama, penyebab utama pengendalian yang tidak efektif adalah
sering kali karena kurangnya akuntabilitas dalam memastikan bahwa prosedur
senyatanya dilaksanakan.
Aktivitas yang Menyimpang.
Salah satu aspek serius risiko internal muncul dari pegawai entitas sendiri, terutama
ketika dia menjadi termotivasi untuk membalas dendam kepada perusahaannya.
Kecurangan (Fraud).
Kasus-kasus kecurangan keuangan telah membuat publik sadar akan skop dari

kecurangan dalam bisnis saat ini. Association of Certified Fraud Examiners

memperkirakan bahwa kecurangan oleh pegawai menyebabkan kerugian bisnis
sebesar enam juta dollar AS pada tahun 2002.
2. Eksternal
Risiko eksternal terkait terutama dengan penyusup dan perangkatnya.
Penyusup.
Penyusup dapat dibagi menjadi empat grup:
Hacker
Digunakan sebagai istilah komplementer untuk menggambarkan mereka yang
berbakat dalam TI yang dapat meng-hack kode dan menjalankan sistem operasi
rahasia.
Whitehat Hacker
Adalah hacker berpengalaman yang dipekerjakan oleh organisasi untuk bermain
seperti devils advocate dan mengungkapkan semua kelemahan dalam sistem
jaringan dan konektivitas internetnya.
Cracker
Masuk ke sistem dengan tujuan mencuri, membunuh, atau menghancurkan.
Script Kiddy
Terkait dengan cracker dan hacker dalam hal mereka memperoleh kode yang ditulis
oleh black-hat hacker atau cracker dan menggunakan pengetahuan dasar jaringan
dan internet untuk mengeksekusi script atau kode tersebut untuk memberi
kerusakan atau cidera kepada target.
Virus.
Risiko terbesar dari sumber eksternal diwakili oleh virus, yang merupakan penyebab
pengeluaran besar oleh perusahaan untuk membersihkan kerusakan sistem.
Cyberterrorism/Cyber-Crime.
Risiko cyberterrorism tinggi untuk bisnis tertentu, tetapi terjadi hingga derajat
tertentu untuk setiap bisnis yang terhubung dengan internet.
C. E-Business
E-business menawarkan keuntungan sebagai berikut:
1. Produktivitas dan penurunan biaya
2. Kecepatan
3. Kesempatan dan penciptaan nilai baru
Meskipun begitu e-business juga membuat perusahaan harus menghadapi risiko
sebagai berikut:
1. Privasi dan Kerahasiaan
Privasi meliputi perlindungan terhadap informasi hak kepemilikan, termasuk
informasi pribadi dan informasi yang terkait terhadap suatu pertukaran atau
transaksi. Kerahasiaan mirip dengan privasi, hanya saja lebih terfokus pada
informasi yang secara spesifik didesain untuk bersifat rahasia. Ada tiga alasan
kegunaan privasi dan kerahasiaan dalam e-business:
E-business menyediakan peluang mengumpulkan data tentang pembeli dan
penjual lebih dari yang bisa diperoleh di dunia perdagangan konvensional.
Internet memungkinkan diseminasi informasi pada banyak orang dengan lebih
mudah melalui banyak jalur komunikasi
Informasi yang diperoleh di e-business bisa dipertukarkan dan ditangkap tanpa
sepengetahuan penyedia informasi.
Banyak transaksi mengorbankan privasi, sehingga bisa saja terjadi trade off antara
privasi dengan personalisasi ataupun antara privasi dan keamanan. Beberapa cara
mengatasi risiko tentang privasi dan kerahasiaan adalah:
Membuat kebijakan privasi: i) untuk melindungi entitas karena secara jelas
menerangkan bagaimana mereka memperlakukan kepemilikan informasi, ii) untuk
menyediakan jaminan kepada rekan bisnis bagaimana informasi tentang mereka
akan dipergunakan).
Memanfaatkan alat pelacak internet (untuk memonitor tingkah laku di internet
menggunakan log dan cookies).

2. Pengamanan Informasi dan Pemeliharaan Ketersediaan Sistem

Karena internet merupakan jaringan, maka seluruh risiko dan pengendalian atas
sistem telekomunikasi dan jaringan umum terikat padanya. E-business memiliki
risiko keamanan melebihi jaringan lainnya dengan dua alasan berikut: a) jaringan
adalah milik publik sehingga bisa diakses oleh semua pengguna dengan web
browser dan ISP sehingga tidak bisa dilindungi seperti pemakaian jaringan privat, b)
e-commerce berdasarkan definisinya meliputi pertukaran moneter dan aset likuid
lainnya sebagai tambahan aset informasi lainnya. Sehingga transmisi dari aset ini
pada jaringan publik akan membuat informasi sangat rapuh.
Pengawasan atas risiko internet dan e-business ini diatasi dengan cara:
Mengamankan informasi e-business dengan enkripsi
Mengamankan pembayaran elektronik
Mengamankan web server
Ketersediaan dan keandalan sistem
3. Integritas Transaksi dan Kebijakan Bisnis
Integritas dari transaksi e-business dan kebijakan e-business yang komprehensif
merupakan komponen yang penting dari keandalan sistem ini.
Integritas Transaksi.
Menurut SysTrust dari AICPA, integrasi transaksi diartikan sebagai pemrosesan
sistem sudah komplit, akurat, tepat waktu, dan diotorisasikan.
Repudiation (Penolakan)
Adalah suatu kemampuan pihak tertentu untuk terikat dalam suatu transaksi untuk
menolak partisipasi mereka ataupun karakteristik tertentu dari transaksi itu sendiri.
Dalam e-business, repudiation meningkatkan risiko karena mudah melepaskan suatu
identitas di dalam lingkungan virtual dibandingkan di dunia nyata. Salah satu alat
yang bisa dipakai untuk mengatasi masalah repudiation adalah tanda tangan digital
(digital signature) yang bisa menghubungkan pengirim pesan kepada dokumen yang
dikomunikasikan. Sertifikat digital adalah pernyataan keotentikan yang dikeluarkan
oleh pihak ketiga yang bisa dipercaya (yang disebut otoritas sertifikat).
Jejak Audit Elektronik
Transaksi e-business menghasilkan data dalam bytes (bukan kertas), sehingga
menghasilkan bukti elektronik berupa log, jejak audit, dokumen sumber, pesan email, dan komunikasi lainnya. Log transaksi menangkap data seperti log in pemakai,
passwords, tanggal dan jam pemakaian. Jejak audit memperlihatkan data sejarah
transaksi mulai dari awal sampai pada titik dimana ia dipublikasikan dalam laporan
keuangan. Auditor TI harus meyakini bahwa jejak audit benar terjadi dalam semua
aplikasi e-business dan mereka memiliki pengendalian internal yang cukup untuk
melindungi mereka. Bukti elektronik berbeda dari kertas dokumen di beberapa
aspek. Dokumen elektronik hanya terjadi pada periode waktu tertentu. Ini berarti
auditor harus memilih sampel audit di dalam basis periodik. Pada tahun 1996 dan
1997 AICPA mengeluarkan SAS no. 80 mengamandemen SAS no. 31 Evidential
Matter dan an Auditing Procedures Study (APS) The Information Technology Age:
Evidential Matter in the Electronic Environment guna menyediakan suatu pedoman
bagi auditor terkait bukti elektronik.
Kebijakan E-Business.
Kebijakan e-business yang efektif berkembang saat organisasi belajar apa yang
memberikan hasil terbaik dalam praktik. Kekurangan kebijakan bisnis untuk aktivitas
menjadi indikasi risiko untuk e-business. Harus ada kebijakan bisnis di dalam tiap
kejadian pada proses bisnis. Contohnya: untuk proses penjualan ada kebijakan
mengatur tentang pemesanan penjualan, pemenuhan pesanan, dan pembayaran
aktivitas. Tanggung jawab auditor IT terkait kebijakan e-business adalah: 1) untuk
menjamin kebijakan yang ditegakkan sesuai dengan tujuan organisasi, 2) untuk
memperoleh tingkatan dimana kebijakan ini diobservasi.
D. Aplikasi E-Business Khusus
E-business dan e-commerce meliputi area aplikasi yang memiliki risiko pengendalian
khusus. Beberapa aplikasi e-business khusus itu adalah sebagai berikut:

1. EDI (Electronic Data Interchange).

EDI adalah pertukaran pemrosesan informasi bisnis antara perusahaan dalam suatu
format standar. Manfaat EDI:
1. Pengurangan entri data.
2. Pengurangan kesalahan.
3. Pengurangan kertas.
4. Pengurangan biaya pengiriman melalui pos.
5. Otomatisasi prosedur.
6. Pengurangan persediaan yang arus dikelola.
EDI berkembang karena keinginan untuk mengurangi waktu transaksi
pelanggan/pemasok. EDI mahal karena membutuhkan penginstalan program khusus
dan seharusnya terdapat jalur komunikasi berdedikasi atau VAN pihak ketiga.
Akibatnya EDI baru diadaptasikan di perusahaan besar dan kurang efisien bagi
perusahaan kecil. Tetapi perkembangan internet dan WWW memberikan alternatif
baru bagi perkembangan EDI. Mereka bisa mengirimkan data EDI yang terenkripsi
melalui internet. Intranet yang diperluaspun juga menjadi alternatif EDI dalam
mengecek persediaan dan harga serta tempat pemesanan berdasarkan password
yang membuat mereka bisa mengakses data tersebut. Bagi auditor TI fokusnya lebih
pada pembentukan form komputer dari data sharing antara rekanan yang bervariasi
atas pendekatan yang dilakukan. Terkait masalah VAN auditor membutuhkan audit
penjaminan dari pihak ketiga.
2. Collaborative Commerce.
Pada masa internet sudah sulit memprediksi kapan bisnis dimulai ataupun akan
berakhir. Semua orang berusaha menciptakan keunggulan kompetitifnya.
Collaborative commerce bermakna dua atau lebih entitas saling berbagi kepentingan
untuk mencapai suatu tujuan tertentu. Rekanan ini berarti saling membagi informasi
yang berarti bisa menambah risiko. Auditor TI harus menjamin bahwa pembagian
informasi benar-benar merupakan hal yang perlu diketahui. Pada aplikasi ini juga
sangat penting mempertimbangkan privasi.
3. Keamanan dan Privasi E-Mail.
Sistem e-mail merupakan aplikasi jaringan terbesar dalam perusahaan, sehingga
keamanan merupakan salah satu poin penting yang harus menjadi perhatian.
Ancaman terhadap sistem e-mail ada 2:
Ancaman Keamanan E-Mail.
Virus/Worm
Pesan e-mail dan attachment mungkin mengandung kode yang mencurigakan. Di
beberapa kasus kode ini akan mereplika dirinya dan mengirim sendiri pada semua
daftar alamat penerima e-mail.
Spam
Pengiriman e-mail yang tak diminta pada banyak user.
Bombs
Pengiriman e-mail yang tak diinginkan secara berulang pada satu alamat e-mail
yang sama.
Sniffing
Selama transmisi seorang user yang tidak berwenang dapat membaca pesan e-mail
yang ada.
Session Hijacking
Seorang user yang tidak berwenang bisa mengambil alih sesi komunikasi dengan
mengirimkan pesan palsu pada seorang pemakai e-mail dengan memakai
keotentikan dari pemakai itu.
Spoof
Alamat asal sebuah e-mail bisa jadi palsu.
Ancaman Privasi E-Mail.
Pelecehan Seksual atau Rasial
Seorang pemakai e-mail bisa mengirim pesan e-mail yang tidak pantas atau terkait
skandal.

Pembocoran Privasi
Ada banyak cara privasi dikompromikan melalui e-mail. Contoh: pesan pribadi diforward, dibagi, atau diintip oleh hackers.
Jejak Kertas E-Mail
Pesan e-mail adalah permanen dan bisa dipergunakan sebagai bukti tuntutan
hukum. Penghapusan e-mails terkait masalah hukum bisa dianggap sebagai
pelanggaran.
Mata-Mata Perusahaan
Insider bisa membocorkan rahasia perdagangan perusahaan melalui e-mail. Data
kepemilikan bisa saja diperoleh melalui sistem e-mail.
Dalam melakukan pengendalian atas sistem e-mail bisa dilakukan dengan software
tertentu yang berisikan fitur produk berupa enkripsi, kompresi data, otentikasi,
memindai isi, tracking, pemanfaatan otomatis, penghancuran digital, pemfilteran
dan pengeblokan, dan perlindungan anti-virus. Contoh software yang berisi fitur ini
adalah Genidocs Server, GLWebMail XT Professional, enRole, dan CAMEO Recon. Cara
terbaik menjamin keamanan privasi e-mail adalah dengan cara enkripsi. Contoh
enkripsi standar untuk e-mail yaitu Pretty Good Privasi (PRP) dan Secure
Multipurpose Internet Mail Extensions (S/MIME).
E. Pengendalian Internet/E-Commerce
Risiko e-commerce dapat dikurangi dengan penerapan beberapa pengendalian.
Adalah tanggungjawab auditor TI untuk memastikan pengendalian yang memadai
telah diterapkan dan bekerja secara efektif untuk melindungi aset dan bisnis
organisasi. Dua hal utama yang menjadi pertimbangan dalam pengendalian adalah
akses tidak sah dan kegagalan peralatan.
Pengendalian
Pengendalian dimulai dengan praktik-praktik terbaik penggunaan kebijakan dan
prosedur untuk menghadapi risiko yang diidentifikasi dalam penilaian risiko yang
dilakukan oleh perusahaan atau auditornya, dan termasuk beberapa perangkat
canggih TI untuk mengurangi risiko tersebut.
1. Kebijakan dan Prosedur
Sekali tim penilai risiko mengidentifikasi risiko spesifik, yang melampaui tingkat
risiko yang dapat ditoleransi dan pengendalian menjadi cost-effective, maka tim
harus mengembangkan kebijakan, untuk menyatakan maksud organisasi
sehubungan dengan kejadian yang berisiko. Kebijakan akan berlanjut dengan pilihan
prosedur-prosedur untuk mencegah dan sekaligus mendeteksi risiko.
2. Teknik SDLC
Salah satu area yang harus diawasi adalah praktik-praktik terbaik yang didirikan
dalam komunitas TI/SI selama bertahun-tahun dalam system development life cycle
(SDLC) atau analisis dan disain sistem.
3. Sistem Anti-Virus
Sistem anti-virus dapat mengurangi risiko serangan virus, tetapi sistem anti-virus
sendiri tidak cukup, meskipun di-update secara reguler. Dibutuhkan perangkat lain
untuk memberi peringatan dini akan aktivitas yang mencurigakan.
4. Nomor Urut Pesan
Penyusup dalam kanal komunikasi mungkin berusaha untuk menghapus pesan dari
dari aliran pesan, mengubah urutan pesan yang diterima, atau menggandakan
pesan. Melalui penomoran urut pesan, suatu nomor urut disisipkan dalam tiap pesan,
dan usaha penyusup akan menjadi terlihat pada pihak penerima.
5. Log
Semua aktivitas yang dilakukan dalam sistem harus dicatat dalam log transaksi
secara lengkap.
6. Sistem Monitoring
Router dan gateway pengawasan menjadi perangkat efektif untuk memonitor
aktivitas-aktivitas yang mencurigakan. Bila dikombinasikan dengan grafik yang
dapat dibaca secara terus menerus, sembarang aktivitas yang mencurigakan dapat
disorot melalui perubahan yang digambarkan oleh grafik.

7. Sistem Pengendalian Akses

Digunakan untuk mengotorisasi dan mengotentikasi pengguna. Sistem pengendalian
akses menggunakan satu atau lebih dari tiga pendekatan dasar keamanan: (1)
sesuatu yang Anda punyai, (2) sesuatu yang Anda ketahui, dan (3) siapa Anda.
Sistem Call Back
Perangkat keamanan seperti password, perangkat otentikasi, dan enkripsi memiliki
kelemahan yaitu dengan terbukanya risiko keamanan setelah pelaku kejahatan
dapat masuk ke sistem. Perangkat call-back mengharuskan pengguna dial-in untuk
memasukkan password dan diidentifikasi. Sistem kemudian memutuskan koneksi
untuk melakukan otentikasi pengguna. Bila pengguna telah diotorisasi, perangkat
call-back memanggil kembali perangkat pengguna untuk membuat koneksi baru ke
sistem.
Sistem Chalenge-Response
Penyusup mungkin berusaha untuk mencegah atau menunda penerimaan pesan dari
pengirimnya. Dengan teknik challenge-response, pesan pengendali dari pengirim
dan respon dari penerima dikirim pada interval periodik dan sinkron.
Sistem Password Multifaset
Sistem ini mengkombinasikan password dengan perangkat pengendalian akses lain.
Biometrik
Adalah pengukuran otomatis dari satu atau lebih atribut atau fitur spesifik
seseorang, dengan tujuan dapat membedakan orang tersebut dari orang lain.
Karakterisitik fisik seperti sidik jari, garis tangan, suara, retina dan iris, dan wajah
dapat digunakan sebagai kode akses dalam biometrik.
Firewall
Organisasi yang terhubung dengan internet atau jaringan publik lain sering kali
menerapkan firewall elektronik untuk mengisolasi LAN dari penyusup luar. Firewall
terdiri dari software dan hardware yang menjadi titik pusat keamanan dengan
menyalurkan semua koneksi jaringan melalui gateway pengendali. Firewall dapat
digunakan untuk mengotentikasi pengguna jaringan dari luar, memverifikasi tingkat
otoritas aksesnya, dan mengarahkan pengguna ke program, data, atau jasa yang
dimintanya. Firewall dibagi menjadi dua jenis umum:
Firewall Tingkat-Jaringan
Adalah pengendalian akses berbiaya rendah dan dengan tingkat keamanan yang
rendah pula. Firewall jenis ini terdiri dari router screening yang menguji alamat
sumber dan tujuan yang dimasukkan pada paket pesan masuk. Menggunakan teknik
IP spoofing, hacker dapat menyamarkan paket pesan supaya seperti datang dari
pengguna yang sah dan mendapat akses ke jaringan.
Firewall Tingkat-Aplikasi
Adalah pengamanan jaringan tingkat tinggi yang dapat di-custom, tetapi dapat
berbiaya sangat mahal. Sistem ini dikonfigurasi untuk menjalankan aplikasi
keamanan yang disebut proxy yang membolehkan layanan rutin seperti email untuk
melewati firewall, tapi dapat melakukan fungsi-fungsi canggih seperti logging atau
otentikasi pengguna untuk tugas-tugas khusus.
Sistem Deteksi Penyusupan
Sistem deteksi penyusupan (intrusion detection systems/IDS) memeriksa semua
aktivitas jaringan masuk dan keluar dan mengidentifikasi pola-pola mencurigakan
yang mungkin mengindikasikan serangan jaringan atau sistem dari seseorang yang
berusaha untuk masuk ke dalam sistem.
Ada beberapa cara untuk menggolongkan IDS:
Deteksi Penyalahgunaan Versus Deteksi Anomali
- Penyalahgunaan: IDS mencari serangan spesifik yang pernah didokumentasi
(seperti anti-virus).
- Anomali: IDS memonitor segmen jaringan untuk membandingkan keadaan yang
ada dengan keadaan normal dan mencari anomali.
Sistem Berbasis-Jaringan Versus Sistem Berbasis-Host
- Berbasis-jaringan (Network IDS/NIDS): paket indvidual yang mengalir melalui

jaringan dianalisa.
- Berbasis-host: IDS memeriksa aktivitas pada tiap komputer atau host.
Sistem Pasif Versus Sistem Reaktif
- Pasif: IDS mendeteksi pelanggaran keamanan potensial, mencatat informasi
dalam log dan mengirim sinyal peringatan.
- Reaktif: IDS merespon aktivitas mencurigakan dengan me-logoff pengguna
memeriksa aktivitas pada tiap komputer atau host.
Mengendalikan Serangan Denial-of-Service (DoS)
Ketika pengguna membuat koneksi internet melalui TCP/IP, terjadi handshake tigajalur. Server asal mengirimkan kode inisiasi yang disebut paket SYN ke server tujuan.
Server tujuan kemudian mengakui permintaan dengan mengirim paket SYN/ACK.
Akhirnya mesin pengirim merespon dengan kode paket ACK. DoS terjadi ketika
server pengirim mengirimkan paket SYN dalam jumlah besar dan terus menerus tapi
tidak pernah merespon dengan ACK untuk menyelesaikan koneksi. Meskipun DoS
tidak dapat dicegah, tapi dapat dikurangi risiko serangannya dengan software
keamanan yang dapat meindai koneksi yang setengah terbuka.
Enkripsi
Enkripsi adalah konversi data menjadi kode rahasia untuk disimpan dalam basis data
dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi untuk
mengkonversi pesan original (cleartext) menjadi pesan yang telah dikode
(ciphertext). Pada penerima chipertext di-dekode (dekripsi) kembali menjadi
cleartext.
Ada dua komponen dasar enkripsi: kunci dan algoritma. Kunci adalah nilai matematis
yang dipilih oleh pengirim pesan. Algoritma adalah prosedur sederhana penggeser
tiap huruf dalam pesan cleartext. Ada dua jenis metode umum enkripsi yang
digunakan:
Enkripsi Kunci Privat
Metodologi yang umum digunakan adalah Data Encryption Standard (DES) yang
menggunakan satu kunci yang digunakan untuk mengenkripsi pesan asli menjadi
pesan rahasia maupun mendekripsi pesan rahasia menjadi pesan asli.
Enkripsi Kunci Publik
Teknik ini menggunakan dua kunci berbeda: satu untuk meng-enkode pesan dan
yang lain untuk men-dekode pesan.
Sertifikat Digital/Tandatangan Digital
Sertifikat digital adalah lampiran pesan elektronik yang digunakan untuk tujuan
keamanan. Umumnya digunakan untuk memverifikasi pengirim pesan dan
menyediakan alat bagi penerima untuk meng-enkode pesan jawaban.
Tandatangan digital adalah kode yang dapat dilampirkan ke pesan yang dikirim
secara elektronik yang secara unik mengidentifikasi pengirim.
8. Business Recovery Plan (BRP)
Adalah pengendalian yang efektif untuk perusahaan e-commerce untuk tetap dapat
menjalankan bisnis setelah aktivitas bisnis mengalami kejadian yang merugikan.
9. Incident Response Plan
Mirip dengan BRP, tetapi yang diantisipasi adalah persiapan dan perencanaan respon
perusahaan kepada publik dan media setelah kejadian yang merugikan.
10. Mengendalikan Kemungkinan Kegagalan Peralatan
Berikut ini adalah teknik pengendalian yang didisain untuk membatasi ancaman dari
kegagalan peralatan yang dapat mengganggu, menghancurkan, atau merusak
transaksi elektris basis data dan program komputer.
Echo Check
Melibatkan penerima pesan untuk mengembalikan pesan kepada pengirim. Pengirim
membandingkan pesan yang dikembalikan dengan pesan orisinal.
Parity Check
Memasukkan bit ekstra ke dalam struktur string bit ketika dibuat atau dikirim. Parity
dapat berupa bit vertikal dan horisontal (longitudinal).

Tujuan Audit
Tujuan audit atas internet/e-commerce:
1. Memverifikasi keamanan dan integritas transaksi perdagangan elektronik
dengan menentukan bahwa pengendalian (1) dapat mendeteksi dan mengkoreksi
pesan yang hilang karena kegagalan peralatan, (2) dapat mencegah dan mendeteksi
akses ilegal baik internal dan dari internet, (3) memberikan data yang tak berguna
yang berhasil diambil oleh pelaku.
2. Memverifikasi bahwa prosedur backup memadai untuk menjaga integritas dan
keamanan fisik basis data dan file lainnya yang terhubung ke jaringan.
3. Menentukan bahwa (1) semua transaksi EDI telah diotorisasi, divalidasi dan
patuh terhadap perjanjian dengan partner perdagangan; (2) tidak ada organisasi
yang tidak diotorisasi yang mengakses record basis data; (3) partner perdagangan
yang diotorisasi memiliki akses hanya untuk data yang telah disetujui; dan (4)
pengendalian yang memadai diterapkan untuk memastikan jejak audit semua
transaksi EDI.
Prosedur Audit
Untuk mencapai tujuan audit tersebut, auditor dapat melakukan prosedur pengujian
pengendalian sebagai berikut:
1. Memilih sampel pesan dari log transaksi dan memeriksanya untuk isi yang
terdistorsi akibat noise jalur transmisi.
2. Mereview log transaksi pesan untuk memverifikasi bahwa semua pesan diterima
dalam urutan yang tepat.
3. Menguji operasi fitur call-back dengan mencoba panggilan yang tidak diotorisasi
dari luar.
4. Mereview prosedur pengamanan yang mengatur administrasi kunci enkripsi
data.
5. Memverifikasi proses enkripsi dengan mengirimkan pesan percoban dan
memeriksa isinya pada beberapa titik sepanjang kanal antara lokasi pengiriman dan
penerimaan.
6. Mereview kecukupan firewall dalam mencapai keseimbangan yang tepat antara
pengendalian dan kenyamanan berdasarkan tujuan bisnis organisasi dan risiko
potensial. Kriteria untuk penilaian efektivitas firewall meliputi: fleksibilitas, proxy
services, penyeringan, pemisahan sistem, alat-alat audit, penyelidikan atas
kelemahan dan review atas prosedur pengendalian password.
F. Jasa Asurans Pihak Ketiga
COBIT mengontrol jasa pihak ketiga sebagai bagian dari dimensi Delivery & Support
(DS2)-nya. Dengan adanya e-business meningkatkan keandalan pihak luar terhadap
bentuk ISP, ASP, otoritas sertifikat, dan penyedia pembayaran elektronik. Auditor TI
mengevaluasi jasa pihak ketiga perlu memahami lebih dulu hubungan antara entitas
yang direview dan pihak ketiga itu sendiri. Selanjutnya mereka menyusun langkahlangkah audit yang diperlukan dalam mengevaluasi jasa pihak ketiga itu. Audit jasa
pihak ketiga terkadang dikaitkan dengan SAS 70 Reports on the Processing of
Transactions by Service Organizations, yang bertujuan menyediakan pedoman bagi
auditor keuangan dalam mengaudit laporan keuangan yang bergantung pada jasa
organisasi pihak ketiga untuk memproses beberpa transaksinya. SAS 70 juga berisi
pedoman mereview laporan atas proses transaksi yang akan dimanfaatkan oleh
auditor lainnya.
Tujuan dari jasa penjaminan pihak ketiga adalah untuk mengarahkan privasi dan
keamanan dari pelanggan akhir dan perusahaan dalam melaksanakan bisnis di
internet. Pihak ketiga seperti auditor TI dapat mengevaluasi bisnis dalam artian
privasi, keamanan, integritas transaksi, keandalan sistem, dan kebijakan bisnis.
Contoh organisasi yang menawarkan jasa penjaminan: gabungan AICPA dan CICA
menghasilkan CPA WebTrust yang memberikan dua jasa penjaminan WebTrust dan
SysTrust. WebTrust diarahkan utamnya pada transaksi e-commerce dan bagian dari
SysTrust yang diperuntukkan bagi semua sistem informasi.
SysTrust dan WebTrust terdiri atas kumpulan prinsip dan kriteria. Prinsip-prinsip itu

adalah: keamanan, ketersediaan, integritas proses, online privasi, dan tingkat

keyakinan. Di dalam ikatan WebTrust auditor mengevaluasi satu atau semua prinsip
ini melawan kumpulan kriteria. Empat kategori kriteria itu adalah: kebijakan,
komunikasi, prosedur, dan pengawasan. Diantara tiap kategori adalah kriteria
spesifik yang umum untuk setiap prinsip. Dan tiap criteria spesifik bisa ditemani oleh
pengendalian ilustrasi spesifik.
Jasa penjaminan dari organisasi tertentu akan bisa dipercaya apabila merek yang
diusung organisasi itu familiar bagi pelaku bisnis. Tingkat keyakinan akan meningkat
saat mereka mempercayai merek tersebut. Selain CPA WebTrust ada beberapa
penyedia jasa penjaminan yang cukup disukai pelaku bisnis, diantaranya:
PriceWaterhouseCoopers BetterWeb, Better Business Bureau (BBB), Truste, dan
Verisign Inc. Verisign menawarkan suatu varietas jasa kepercayaan digital termasuk
security seal yang memberikan jaminan bahwa situs Web itu otentik dan transmisi
data menggunakan enkripsi SSL.
G. Audit E-Commerce dalam ISACA
ISACA sebagai asosiasi penerbit standar audit sistem informasi memberi pedoman
mengenai audit e-commerce terutama kategori B2C, yaitu: G22 Business-toconsumer (B2C) E-commerce Review.
Pedoman G22 merujuk pada materi CoBIT yang relevan untuk e-commerce B2C dan
bisnis berbasis-TI dalam skop Plan and Organise, Acquire and Implement, Deliver and
Support yang dijabarkan dalam sasaran-sasaran pengendalian berikut:
- PO1Define a strategic IT plan
- PO2Define the information architecture
- PO3Determine technological direction
- PO8Ensure compliance with external requirements
- PO9Assess risks
- AI2Acquire and maintain application software
- AI3Acquire and maintain technology infrastructure
- AI4Develop and maintain procedures
- AI5Install and accredit systems
- AI6Manage changes
- DS1Define and manage service levels
- DS2Manage third-party services
- DS3Manage performance and capacity
Kriteria informasi yang paling relevan dengan audit B2C adalah::
- Primer: ketersediaan, kepatuhan, kerahasiaan, efektivitas dan integritas
- Sekunder: efisiensi dan keterandalan
H.

Referensi