Anda di halaman 1dari 20

I.

Pengertian Audit

Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan
mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai
ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan
criteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para
pemakai yang berkepentingan.

Audit membutuhkan pendekatan langkah per langkah yang dibentuk dengan


perencanaa teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-
hati.

System dan auditing electronic data processing- pemrosesan data electronic (PLE)
telah ada selama beberapa decade terakhir. Meskipun istilah PDE sekarang ini
justru sudah terasa kuno, tetapi “ PDE auditing masih tetap banyak digunakan.
Istilah PDE auditing umumnya digunakan untuk menerangkan dua jenis aktivitas
yang berhubungan dengan komputer.jenis aktivitas ini biasanya dilakukan oleh
auditor selama pengujian ketaatan (compliance test), dan disebut sebagai auditing
melalui computer.

Penggunaan istilah lainnya aalah untuk menerangkan pemanfaatan computer oleh


auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dilakukan secara
manual. Jenis aktivitas ini disebut sebagai sebagai auditing dengan computer.
Kebanyakan audit meliputi pengujian ketaatan dan pengujian substantif.

II. Tujuan Audit

Tujuan dan tanggung jawab utama auditor ekstern adalah menilai kewajaran
laporan keuangan suatu perusahaan. Auditor ekstern melayani para pemegang
saham, pemerintah, dan masyarakat luas

Secara umum tujuan dari auditor intern acalah melayani kebutuhan manajemen
perusahaan. Sedangkan berdasarkan Institute of Internal Auditor (IIA), tujuan dari

Audit Sistem Informasi Berbasis Komputer


Page 1
audit internal adalah untuk mengevaluasi kecukupan dan efektivitas system
pengendalian internal perusahaan, serta menetapkan keluasan dari pelaksanaan
tanggung jawab yang benar dilakukan

Ada lima standar lingkup audit menurut Institute of Internal Auditor, yaitu :

a. Melakukan tinjauan atas keandalan dan integritas informasi operasional an


keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan
dilaporkan.

b. Menetapkan apakah system telah didesain untuk sesuai dengan kebijakan


operasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang
berlaku.

c. Melakukan tinjauan mengenai bagaimana asset dijaga, dan memverifikasi


keberadaan asset tersebut.

d. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan


efisien mereka digunakan

e. Melakukan tinjauan atas operasional dan program perusahaan, untuk


menetapkan apakah mereka telah dilaksanakan sesuai dengan rencana dan
apakah mereka dapat memenuhi tujuan-tujuan mereka.

Audit secara umum dibagi menjadi dua komponen dasar yaitu :

1. Audit Interim

Bertujuan menetapkan tingkat keandalan system pengendalian intern. Biasanya


untuk ini diperlukan pengujian ketaatan. Tujuan dari pengujian ketaatan adalah
untuk melihat eksistensi, efektivitas, dan pengecekan kontinuitas kegiatan yang
mengandalkan system pengendalian tersebut.

2. Audit laporan keuangan

Audit Sistem Informasi Berbasis Komputer


Page 2
Untuk audit laporan keuangan mencakup pengujian substantif, pengujian ini
merupakan verifikasi langsung terhadap angka-angka laporan keuangan,
berdasarkan hasil pengujian pengendalian intern dalam audit interim

III. Jenis- jenis Kegiatan Audit Internal

Terdapat tiga jenis audit yang biasanya dilakukan yaitu :

1. Audit keuangan

Memeriksa keandalan dan integritas catatan-catatan akuntansi (baik informasi


keuangan dan operasional) dan menghubungkan dengan standar pertama
dalam lima standar lingkup audit menurut IIA

2. Audit system informasi

Melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya


dengan kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga
asset perusahaan.

3. Audit operasional atau manajemen

Berkaitan dengan penggunaan secara ekonomis dan efisiensi sumber daya,


serta pencapaian sasaran dan tujuan yang telah ditetapkan.

IV. Proses audit

Seluruh audit menggunakan urutan kegiatan yang hamper sama, hingga dapat
dibagi ke dalam empat langkah yaitu :

a. Merencanakan Audit

Tujuan dari perencanaan audit adalah untuk menetapkan mengapa,


bagaimana, kapan dan oleh siapa audit akan dilaksanakan.

Dalam merencanakan sebuah audit internal ada beberapa langkah yaitu :

1. Menetapkan audit dan tujuan audit

Audit Sistem Informasi Berbasis Komputer


Page 3
Audit internal dapat berfokus pada pengendalian internal, informasi
keuangan, kinerja operasional. Sebuah tim audit yang memiliki pengalaman
dan keahlian yang dibutuhkan akan dibentuk. Para anggota tim menjadi
lebih dalam mengenali pihak yang diaudit melalui diskusi dengan personil
tingkat supervisor dan operasional, melakukan tinjauan atas dokumentasi
system, dan melakukan tinjauan atas penemuan-penemuan dalam audit
terdahulu.

Sebuah audit direncanakan sedemikian rupa agar sebagian besar kegiatan


audit berfokus pada area-area yang memiliki faktor-faktor risiko tertinggi.

Ada tiga jenis resiko dalam melakukan audit, yaitu :

• Risiko inheren

Toleransi atas risiko yang material dengan mempertimbangkan


ketidakberadaan pengendalian

• Risiko pengendalian

Risiko yang timbul dai kesalahan penyajian yang material dan


berdampak hingga ke struktur pengendalian internal serta ke laporan
keuangan. Sebuah perusahaan memiliki pengendalian internal lemah
memiliki lebih banyak risiko pengendalian daripada perusahaan dengan
dengan pengendalian internal yang kuat. Risiko pengendalian dapat
ditetapkan dengan cara melakukan tinjauan atas lingkungan
pengendalian yang diidentifikasi dalam audit terdahulu, dan dengan
mengevaluasi bagaimana kelemahan-kelemahan tersebut telah
diperbaiki.

• Risiko pendeteksian

Risiko yang timbul akibat tidak dapat terdeteksinya sebuah kesalahan


atau kesalahan penyajian oleh auditor dan prosedur auditor.

2. Organisir tim audit

Audit Sistem Informasi Berbasis Komputer


Page 4
3. Kembangkan pengetahuan mengenai operasional bisnis

4. Tinjauan hasil audit sebelumnya

5. Identifikasi factor-faktor risiko

6. Siapkan program audit

b. Mengumpulkan bukti

Ada beberapa metode yang dilakukan auditor dalam mengumpulkan bukti,


antara lain :

1. Pengamatan atas berbagai kegiatan yang diaudit

2. Melakukan peninjauan atas dokumentasi

3. Diskusi

4. Kuesioner

5. Pemeriksaan fisik

6. Melakukan konfirmasi

7. Melakukan prosedur ulang

8. Pembuktian

9. Tinjauan analisis

Oleh karena banyak pengujian dan prosedur audit yang tidak layak untuk
dilaksanakan di seluruh rangkaian kegiatan, catatan, asset atau dokumen yang
ditinjau, pengujian dan prosedur tersebut sering kali dilaksanakan dengan
mengambil sampel.

c. Mengevaluasi bukti

Audit Sistem Informasi Berbasis Komputer


Page 5
Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan audit
tertentu, dan memutuskan apakah bukti tersebut mendukung kesimpulan atau
tidak. Apabila kurang mendukung, auditor akan merencanakan dan
melaksanakan prosedur tambahan sampai bukti yang cukup dapat dikumpulkan
untuk membuat kesimpulan yang kuat.

Materialitas dan kepastian yang wajar merupakan hal yang penting ketika ingin
memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk
mengevaluasi bukti. Oleh karena kesalahan selalu ada pada system manapun,
para auditor berfokus untuk mendeteksi dan melaporkan kesalahan-kesalahan
yang memiliki dampak signifikan pada interpretasi pihak manajemen atas
penemuan-penemuan audit. Materialitas secara umum lebih penting untuk audit
eksternal, yang penekanan umumnya adalah kejujuran penyajian laporan
keuangan, bukan untuk audit internal, yang berfokus untuk menetapkan tingkat
kesesuaian dengan kebijakan manajemen.

Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang
material dalam informasi atau proses yang diaudit. Oleh karena sangat mahal
untuk mencari kepastian yang lengkap, audit harus bersedia menerima
sejumlah risiko bahwa kesimpulan audit tidak benar. Merupakan hal yang
penting untuk disadari bahwa ketika risiko inheren atau pengendalian tinggi,
auditor harus mendapatkan keyakinan yang lebih besar untuk mengimbangi
ketidakpastian dan risiko yang lebih besar.

d. Mengkomunikasikan hasil audit

Auditor mempersiapkan laporan tertulis (dan terkadang lisan) yang meringkas


penemuan-penemuan dan berbagai rekomendasi audit, dengan referensi bukti
pendukung dalam lembar kerja. Laporan ini disajikan kepada pihak manajemen,
komite audit, dewan komisaris, dan pihak lain yang terkait. Setelah ada
komunikasi, maka para auditor sering kali melaksanakan penelitian lebih lanjut
untuk memastikan bahwa rekomendasi mereka telah diimplementasikan.

Audit Sistem Informasi Berbasis Komputer


Page 6
V. Pendekatan Audit Berdasarkan Risiko (The Risk-Based Audit
Approach)

Pendekatan empat tahap untuk melakukan evaluasi pengendalian internal:

1. Tentukan Ancaman-ancaman yang dihadapi SIA

2. Identifikasi prosedur pengendalian yang diimplementasikan untuk


meminimalkan setiap ancaman dengan mencegah atau mendeteksi kesalahan
dan ketidakberaturan.

3. Evaluasi prosedur pengendalian

4. Evaluasi kelemahan.

VI. AUDIT SISTEM INFORMASI


Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit
sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini:
1. Perlengkapan keamanan melindungi komputer, program, komunikasi
dan data dari akses yang tidak sah, modifikasi, atau penghancuran
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan
otorisasi khusus dan umum dari pihak manajeman
3. Modifikasi progaram dilaksanakan dengan otorisasi dan persetujuan
pihak manajemen
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah
akurat dan lengkap
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang
tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah
ditetapkan
6. file data komputer telah akurat, lengkap dan dijaga kerahasiaannya

Setiap tujuan tersebut didiskusikan secara lebih terinci dalam bagian berikut. Setiap

Audit Sistem Informasi Berbasis Komputer


Page 7
deskripsi terdiri dari rencana untuk mencapai setiap tujuan diatas, dan juga teknik
serta prosedur yang diperlukan untuk melaksanakan rencana audit tersebut.

Tujuan 1:
Keamanan Keseluruhan

Tujuan 5 :
Data Sumber

Data sumbera

Entri data

Tujuan : 2
Pengembangan dan
perolehan program Data sumber

Pemrosesan
Program File

Output

Tujuan 4 :
Tujuan 3 : Tujuan : 6
Pemrosesan
Modifikasi Program File data
Komputer

Gambar 1.1 melukiskan hubungan diantara keenam tujuan ini dengan komponen-

Audit Sistem Informasi Berbasis Komputer


Page 8
komponen sistem informasi.

Tujuan 1: Keamanan Keseluruhan


Dalam tujuan 1 ini berisi tentang kerangka untuk audit keamanan komputer. Tujuan 1
ini menunjukkan hal-hal berikut ini:
1. Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini
mencakup kerusakan yang disengaja dan tidak disengaja atas aset sistem; akses tidak
sah, pengungkapan atau modifikasi data dan program; pencurian serta interupsi atas
kegiatan bisnis yang penting.
2. Prosedur pengendalian untuk meminimalkan kesalahan dan penipuan keamanan. Hal ini
mencakup mengembangkan rencana keamanan/perlindungan informasi dari virus,
mengimplementasikan firewall, mengadakan pengendalian atas pengiriman data, dan
mencegah serta memulihkan diri dari kegagalan sistem atau bencana lainnya
3. Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi komputer, melakukan
wawancara dengan para personalianya; meninjau kebijakan dan prosedur; serta
memeriksa daftar akses, kebijakan asuransi , dan rencana pemulihan dari bencana
4. Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan
dengan cara mengamati prosedur, menverifikasi bahwa terdapat pengendalian tersebut
berfungsi seperti yang diharapkan, menginvestigasi berbagai kesalahan atau masalah
untuk memastikan mereka ditangani dengan benar. serta memeriksa berbagai uji yang
sebelumnya telah dilaksanakan. Contohnya, salah satu cara untuk menguji pengendalian
akses logika adalah dengan mencoba melanggar masuk ke sistem. Selama audit
keamanan sebuah badan pemerintah Amerika Serikat, para auditor menggunakan
terminal-terminal badan tersebut untuk mendapatkan akses secara tidak sah ke sistem
komputer mereka, mematikan prosedur pemeriksaan keamanannya, dan mengendalikan
sistem tersebut dari terminal yang mereka pakai. Kegagalan keamanan dapat terjadi
karena kurangnya pengendalian administrasif software keamanan yang tidak memadai.
5. Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah tidak cukup, maka

Audit Sistem Informasi Berbasis Komputer


Page 9
organisasi menghadapi resiko yang berat. Kebijakan personil yang baik dan pemisahan
tugas secara efektif atas pekerjaan yang tidak boleh disatukan, dalam beberapa hal dapat
mengimbangi keamanan komputer yang kurang tersebut. Oleh karena hampir tidak
mungkin pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan
keamanan komputer yang kurang baik, para auditor harus sangat merekomendasikan
agar kelemahan keamanan tersebut diperbaiki

Tujuan 2 : Pengembangan Perolehan Program


Dua hal yang dapat salah dalam pengembangan program: (1) kesalahan yang tidak
disengaja karena adanya kesalahanpahaman atas spesifikasi sistem atau kecerobohan
pemrograman, dan (2) perintah tidak sah yang dengan sengaja dimasukkan kedalam
program. Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta
persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi
yang memadai.
Peran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan
independen atas kegiatan pengembangan sistem. Untuk mempertahankan objektivitas yang
dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak
dilibatkan dalam pengembangan sistem. Selama peninjauan sistem, para auditor harus
mendapat pemahaman mengenai prosedur pengembangan dengan mendiskusikannya
bersama pihak manajemen, pemakaian sistem, dan para personil sistem informasi.
Untuk menguji pengendalian pengembangan sistem, para auditor harus
mewawancarai para manajer dan pemakai sistem, memeriksa persetujuan pengembangan,
dan meninjau notulen rapat tim pengembangan sistem. Para auditor harus meninjau secara
keseluruhan semua dokumentasi yang berhubungan dengan proses pengujian dan
memastikan bahwa seluruh perubahan program telah diuji. Auditor harus memeriksa
spesifikasi uji, meninjau data uji, dan mengevaluasi hasil pengujian. Apabila hasil pengujian
tidak sesuai dengan harapan, maka auditor harus memastikan bagaimana masalah tersebut
diatas. Pengendalian pemrosesan yang kokoh (lihat tujuan 4) kadang kala dapat
mengimbangi pengendalian pengembangan yang kurang baik. Apabila para auditor
bergantung pada pengendalian pengimbang untuk pemrosesan, mereka harus mendapatkan
bukti yang mendukung ketaatan terhadap sistem, dengan menggunakan berbagai teknik,

Audit Sistem Informasi Berbasis Komputer


Page 10
seperti pengujian data pemrosesan independent. Apabila bukti sejenis ini tidak bisa
didapatkan, mereka dapat menyimpulkan bahwa terdapat kelemahan yang material dalam
pengendalian internal, dan bahwa resiko kesalahan atau penipuan dalam program aplikasi
terlalu tinggi hingga tidak dapat diterima.

Tujuan 3: Modifikasi Program


Bagian yang penting dari uji pengendalian yang dilaksanakan seorang auditor adalah
memverifikasi bahwa perubahan program telah diidentifikasi, didaftar, disetujui, diuji, dan
didokumentasikan. Langkah ini mensyaratkan auditor untuk mengamati bagaimana
perubahan diimplementasikan untuk memverifikasi bahwa program pengembangan dan
produksi yang terpisah tetap dilaksanakan dan bahwa perubahan tersebut
diimplementasikan oleh seorang yang independen dari pemakai dan fungsi pemrograman.
Auditor harus meninjau tabel pengendalian akses program pengembangan untuk
memverifikasi bahwa hanya pemakai yang ditugaskan untuk melaksanakan modifikasi, yang
memiliki akses ke sistem.
Terdapat dua teknik tambahan untuk mendeteksi perubahan yang tidak sah. Teknik
pemrosesan ulang, menggunakan salinan kode sumber yang telah diverifikasi. Tanpa
pemberitahuan sebelumnya, auditor menggunakan program ini untuk memproses ulang data
dan membandingkan outputnya dengan data perusahaan. Penyimpangan dari kedua pasang
output tersebut akan diselidiki untuk memastikan penyebabnya. Simulasi paralel adalah
hampir sama dengan teknik pemrosesan ulang, kecuali bahwa auditoral yang menulis
program, bukan menggunakan salinan kode sumber yang telah diverifikasi dan disimpan.
Hasil dari simulasi auditor akan dibandingkan dengan hasil milik perusahaan, dan perbedaan
apapun akan diselidiki. Simulasi paralel dapat digunakan untuk menguji sebuah program
selama proses implementasi. Contohnya, Jason menggunakan teknik ini untuk menguji
beberapa bagian dari sistem penggajian baru SPP.
Para auditor harus mengamati pengujian dan implementasi, meninjau otorisasi dan
dokumen yang terkait, dan jika perlu, melaksanakan pengujian independen untuk setiap
perubahan program yang besar. Apabila langkah ini dilewati dan pengendalian program
kemudian ditemukan tidak memadai, maka tidak mungkin mengandalkan output program.
Sebagai tambahan, para auditor harus selalu menguji program tanpa pemberitahuan

Audit Sistem Informasi Berbasis Komputer


Page 11
sebelumnya, sebagai tindakan pencegahan atas perubahan program secara tidak sah, yang
disusupkan setelah pemeriksaan selesai dan kemudian disingkirkan tepat sebelum jadwal
audit berikutnya.
Apabila pengendalian internal atas perubahan program kurang baik, maka
pengendalian pengimbang seperti perbandingan kode sumber, keberadaan pengendalian
pemrosesan yang baik, pengujian secara independen oleh auditor, dalam beberapa hal
dapat mengimbangi kelemahan tersebut. Akan tetapi, jika kelemahan tersebut disebabkan
karena pembatasan atas akses file program yang tidak memadai, auditor harus sangat
merekomendasikan tindakan untk memperkuat pengendalian akses logika di organisasi
tersebut.

Tujuan 4: Pemrosesan Komputer


Fokus tujuan keempat adalah pemrosesan transaksi, file, dan catatan komputer untuk
memperbaharui file serta database, dan digunakan untuk menghasilkan laporan. Dalam
pemrosesan komputer, sistem dapat saja gagal, mendeteksi input yang salah, mempebaiki
kesalahan input secara tidak tepat, memproses input yang salah, atau menyebarkan atau
mengungkap output secara tidak benar.
Beberapa teknik khusus memungkinkan auditor untuk menggunakan komputer dalam
menguji pengendalian pemrosesan. Teknik tersebut mencakup pemrosesan data uji,
menggunakan teknik audit bersamaan, dan menganalisis logika program. Setiap teknik
tersebut memiliki kelebihan dan kelemahan masing-masing, yang berarti bahwa mereka
mungkin lebih tepat disuatu situasi tetapi kurang tepat disituasi lainnya. Tidak ada satupun
teknik yang cocok untuk semua keadaan. Para auditor seharusnya tidak mengungkapkan
teknik apa yang mereka gunakan, karena hal ini dapat mengurangi efektifitas pengujian
audit.

Memproses Data Uji


Salah satu cara untuk menguji program adalah dengan memproses serangkaian
perkiraan (hypothetical) transaksi valid dan tidak valid . Program tersebut harus memproses
seluruh transaksi yang valid dengan benar dan mengidentifikasi serta menolak transaksi
yang tidak valid. Seluruh jalur logika harus diperiksa apakah berfungsi dengan baik atau

Audit Sistem Informasi Berbasis Komputer


Page 12
tidak, melalui satu atau lebih uji transaksi. Contoh-contoh data yang valid adalah catatan
dengan data yang hilang, field yang berisi jumlah yang tidak wajar banyaknya, nomor
rekening atau kode pemrosesan yang salah, data non numeris dalam field numerik, serta
catatan yang tidak berurut.
Sumber-sumber berikut ini dapat membantu untuk mempersiapkan data uji:
• Daftar transaksi yang sebenarnya
• Transaksi uji yang digunakan programer untuk menguji program tersebut
• Program pembuat data uji (test data generator program), yang secara otomatis
mempersiapkan data uji berdasarkan spesifikasi program
Didalam sistem pemrosesan secara batch, program perusahaan dan salinan dari file
yang terkait digunakan untuk memproses data uji. Hasilnya akan dibandingkan dengan
output yang telah diperkirakan sebelumnya; penyimpangan menunjukkan kesalahan
pemrosesan atau kurangnya pengendalian dan harus diselidiki secara keseluruhan.
Didalam sistem online, para auditor memasukkan data uji dengan menggunakan alat
untuk memasukkan daya, seperti PC atau terminal, dan mengamati serta mendaftar respon
sistem. Apabila sistem menerima transakasi yang salah atau tidak valid, auditor akan
menelusuri kembali pengaruh transaksi tersebut, menyelidiki masalahnya, dan memperbaiki
kelemahannya.
Walaupun pemrosesan transaksi uji biasanya efektif teknik tersebut memiliki beberapa
kelemahan;
1. Auditor harus menghabiskan banyak waktu untuk mengembangkan pemahaman atas
sistem yang diperiksanya dan mempersiapkan serangkaian transaksi uji yang memadai
2. Perhatian harus diberikan untuk memastikan bahwa data uji tidak mempengaruhi file dan
database perusahaan. Auditor dapat menelusuri kembali (reserve) pengaruh transaksi uji
atau memproses transaks tersebut dalam proses terpisah dengan menggunakan salinan
file atau database yang terkait. Akan tetapi, pemrosesan terpisah akan menghilangkan
beberapa keotentikan yang didapat dari proses data uji, dengan transaksi rutin. Selain itu,
prosedur penelusuran kembali (reversal procedures) juga dapat mengungkapkan
keberadaan dan sifat dari uji yang dilaksanakan auditor pada personil utama, sehingga
menjadi kurang efektif dibanding uji yang tersembunyi.

Audit Sistem Informasi Berbasis Komputer


Page 13
Teknik Audit Bersamaan
Jutaan dolar transaksi dapat diproses oleh sistem online tanpa meninggalkan jejak
audit yang memuaskan. Dalam kasus semacam ini, bukti dikumpulkan setelah pemrosesan
data dianggap tidak cukup untuk tujuan audit. Sebagai tambahan, oleh karena banyak sistem
on-line memproses transaksi secara terus menerus, merupakan hal yang sulit atau tidak
mungkin untuk menghentikan sestem tersebut dan melaksanakan pengujian audit. Jadi,
auditor menggunakan teknik audit bersamaan untuk secara terus menerus mengawasi
sistem dan mengumpulkan bukti audit sementara data langsung diproses selama jam kerja
normal. Teknik audit bersamaan menggunakan modul audit melekat (embedded audit
module), yaitu bagian-bagian dari kode program yang melaksanakan fungsi audit. Mereka
juga melaporkan hasil pengujian keauditor dan menyimpan bukti yang dikumpulkan untuk
ditinjau oleh auditor. Teknik audit bersamaan sangat memakan waktu dan sulit digunakan,
tetapi tidak akan terlalu sulit dilaksanakan apabila digabungkan ketika program sedang
dikembangkan
Para auditor umumnya menggunakan lima teknik audit bersamaan. Integrated test
facility (ITF) adalah teknik yang menempatkan serangkaian kecil catatan fiktif di file utama.
Catatan tesebut dapat saja mewakili bagian, departemen, atau kantor cabang, pelanggan,
atau pemasok fiktif. Auditor akan membandingkan pemrosesan dengan hasil yang
diharapkan, untuk memverifikasi bahwa sistem tersebut beserta pengendaliannya beroperasi
dengan benar.
ITF sangat sesuai untuk menguji sistem pemrosesan on-line, karena transaksi uji
dapat dilakukan sesering mungkin, diproses bersama dengan transaksi yang sesungguhnya
dan ditelusuri melalui seluruh tahap pemrosesan. Semua ini dapat dicapai tanpa
mengganggu operasional pemrosesan yang normal. Akan tetapi, perhatian harus diberikan
untuk tidak menggabungkan catatan fiktif dengan yang sesungguhnya selama proses
pelaporan.
Teknik snapshot memeriksa cara transaksi diproses. Transaksi yang dipilih ditandai
dengan kode khusus yang akan memicu proses snapshot. Modul-modul audit dalam program
terkait mencatat transaksi-transaksi ini beserta dengan catatan file utamanya, sebelum dan
sesudah pemrosesan. Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor
untuk memverifikasi bahwa seluruh langkah pemrosesan telah dengan benar dilaksanakan.

Audit Sistem Informasi Berbasis Komputer


Page 14
System control audit review file (SCARF) menggunakan modul audit melekat untuk
secara terus menerus mengawasi kegiatan transaksi dan mengumpulkan data atas transaksi
yang menjadi tujuan audit. Data tersebut dicatat dalam file SCARF atau daftar audit (audit
log). Transaksi-transaksi yang dicatat dalam file daftar audit adalah yang melebihi batas nilai
uang yang telah ditentukan, atau berisi penurunan nilai aset. Secara periodek, auditor akan
menerima cetakan file SCARF, memeriksa informasi tesebut untuk mengidentifikasi transaksi
yang meragukan, dan melaksanakan penyelidikan yang dibutuhkan.
Audit hooks adalah kegiatan audit yang memberikan tanda atas transaksi yang
mencurigakan. Contohnya, para auditor internal di state farm life insurance menyatakan
bahwa sistem pemegang asuransi mereka sangat rentan terhadap penipuan setiap kali
seseorang pemegang asuransi mengganti nama atau alamatnya, dan kemudian menarik
dana dari asuransi tersebut. Pegawai asuransi membuat sebuah sistem audit hooks untuk
mengikuti catatan yang memiliki perubahan nama atau alamat. Departemen audit internal
perusahaan tersebut kini akan diperingatkan apabila catatan yang diikuti tersebut
berhubungan dengan penarikan dan dapat menyelidiki apakah transaksi tersebut merupakan
penipuan. Ketika audit hooks digunakan, auditor dapat diinformasikan mengenai transaksi
yang mencurigakan begitu transaksi terjadi. Pendekatan ini, disebut sebagai peringatan
real-time (real-time notification) , yang menunjukkan sebuah pesan diterminal auditor.
Continuous and internitten simulation (CIS) melekatkan modul audit dalam sistem
manajemen database. Modul CIS memeriksan seluruh transaksi yang memperbaharui DBMS
dengan menggunakan kriteria yang hampir sama dengan SCARF. Apabila sebuah transaksi
memiliki nilai untuk diaudit, modul tersebut akan secara independen memproses data (dalam
cara yang hampir sama dengan simulasi paralel), mencatat hasil-hasilnya, dan
membandingkan hasilnya dengan yang didapat dari DBMS. Apabila terjadi penyimpangan,
rincian penyimpangan tersebut akan ditulis dalam daftar audit untuk penyelidikan
selanjutnya. Apabila ditemukan penyimpangan yang serius, CIS akan mencegah DBMS
melaksanakan proses pembaharuan data

Analisis Logika Program


Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi kode yang
tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin

Audit Sistem Informasi Berbasis Komputer


Page 15
diperlukan. Proses ini sangat memakan waktu dan membutuhkan keahlian dalam hal bahasa
pemrograman, sehingga langkah ini harus digunakan sebagai pilihan terakhir. Untuk
melaksanakan analisis tersebut, auditor merujuk pada bagan alir sistem dan program,
dokumentasi program, dan daftar kode sumber program. Software berikut dapat dipakai
untuk membantu analisis ini:
• Automated flowcharting program, yang menerjemahkan kode sumber program dan
membuat bagan alir program berdasarkan kode tersebut
• Automated decision table program, yang membuat sebuah table keputusan yang
mewakili logika program
• Scanning routine, yang memeriksa suatu program atas terjadinya nama variable tertentu
atau kombinasi karakter lainnya
• Mapping program, yang mengidentifikasi kode program yang belum berfungsi. Software
ini mengungkapkan kode program yang dimasukan oleh programer yang tidak
bertanggung jawab untuk menghapus seluruh file komputer ketika dirinya diberhentikan,
seperti yang dicontohkan pada bagian sebelumnya
• Program tracing, yang secara berurutan mencetak seluruh langkah program aplikasi
(berdasar nomor baris atau nama paragraf) yang dijalankan selama operasional
program. Daftar ini bercampur dengan output yang normal sehingga auditor dapat
mengamati urutan yang tepat atas sesuatu kegiatan yang tampak selama pengoperasian
program. Penelusuran program membantu auditor untuk mendeteksi perintah program
tidak sah, alur logika yang salah, dan kode program yang belum berfungsi.

Tujuan 5 : Data Sumber

Pada tujuan ini auditor harus memastikan bahwa fungsi pengendalian data bersifat
independen terhadap fungsi lainnya seperti: memelihara daftar pengendalian data,
menangani kesalahan dan memastikan efisiensi umum operasinya. Tetapi hal ini mungkin
tidak bisa dilaksanakan oleh perusahaan-perusahaan kecil. Jadi sebagai penyeimbang fungsi
pengendalian harus lebih kuat di departemen pemakai seperti dalam hal persiapan data,
pengendalian jumlah total batch, program edit, pembatasan akses secara fisik dan logika ke
sistem, dan prosedur penanganan kesalahan. Prosedur-prosedur inilah yang harus mendapat
perhatian bila tidak didapati adanya fungsi pengendalian data yang independen.

Audit Sistem Informasi Berbasis Komputer


Page 16
Apabila data sumber tidak memadai, pengendalian departemen pemakai dan
pemrosesan komputer dapat menjadi pengimbang. Apabila tidak, maka auditor harus sangat
merekomendasikan langkah-langkah untuk memperbaiki kelemahan data sumber.
Berikut kerangka untuk Audit Pengendalian Data Sumber :
Jenis-jenis kesalahan dan Penipuan :
- Data sumber yang tidak akurat
- Data sumber yang tidak sah
Prosedur Pengendalian :
- Penanganan input data
- Otorisasi
- Rekonsiliasi batch
- Penerimaan,perpindahan dan pemrosesan data sumber
- Verifikasi digit dan kunci
- Penggunaan dokumen yang dapat dikirim kembali
- Rutinitas edit data komputer
- Pencatatan dan ringkasan perubahan file
- Prosedur untuk perbaikan data yang salah
Prosedur audit : Tinjauan Sistem
- Meninjau penanggung jawab fungsi pengendalian data
- Standar pengendalian data sumber
- Meninjau penandatanganan Otorisasi
- Meninjau sistem akutansi isi data sumber
- Mendokumentasikan pengendalian data sumber akutansi
- Mendiskusikan prosedur pengendalian sumber data dengan personil pengendalian
data dan pemakai
Prosedur audit : Uji Pengendalian
- Mengamati dan mengevaluasi jalannya departemen pengendalian data dan prosedur
Pengendalian data tertentu
- Memeriksa beberapa sample data sumber akutansi dalam hal otorisasi yang memadai
- Menelusuri pemrosesan sebuah sample kesalahan yang ditandai oleh rutinitas edit
data

Audit Sistem Informasi Berbasis Komputer


Page 17
Tujuan 6 : File Data
Meliputi,akurasi, integritas dan kemanan data yang disimpan dalam file yang dapat dibaca
oleh mesin.
Berikut Kerangka untuk Audit Pengendalian File Data
Kesalahan dan Penipuan:
- Penghancuran data yang disimpan sengaja atau tidak
- Modifikasi atau pengungkapan yang tidak sah atas data yang disimpan
Prosedur Pengendalian
- Perpustakaan yang aman dan pembatasan atas akses ke file data
- Menggunakan password terhadap akses file data
- Penggunaan write protection
- Enkrip data untuk data yang sangat rahasia
- Penggunaan software anti virus
- Back up data
- Fasilitasi pemuliahan sistem
Prosedur Audit : Tinjauan sistem
- Meninjau dokumentasi atas fungsi-fungsi operasional perpustakaan file
- Meninjau kebijakan dan prosedur akses logika
- Memeriksa rencana pemuliahn dari bencana
- Mendiskusikan prosedur pengendalian file data dengan para manager dan operator
sistem
Prosedur Audit: Uji Pengendalian
- Mengamati dan mengevaluasi operasional perpustakaan file
- Meninjau catatan pemberian dan modifikasi password
- Mengamati dan mengevaluasi penyimpanan di luar lokasi kantor
- Verifikasi efektif terhadapa prosedur perlindungan dari virus,enkripsi data dan rencana
pemulihan data

Audit Sistem Informasi Berbasis Komputer


Page 18
Software Komputer
Beberapa program komputer yang disebut Computer Audit Software (CAS) atau Generalized
Audit Software (GAS) telah dibuat secara khusus untuk auditor.CAS idealnya sesuai untuk
pemeriksaan file dengan data yang besar.CAS adalah program komputer yang berdasarkan
spesifikasi dari auditor,menghasilkan program yang melaksanakan fungsi-fungsi audit.
Program ini membuat catatan spesifikasi yang digunakan CAS untuk menghasilkan satu atau
lebih program audit. Program audit memproses file-file sumber dan melaksanakan
operasional audit yang dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan.
Beberapa fungsi umum software audit komputer :
– Pemformatan ulang
– Manipulasi file
– Perhitungan
– Pemilihan data
– Analisis data
– Pemrosesan file
– Statistik
– Pembuatan laporan

Audit Operasional Atas Suatu SIA


Perbedaan utama antara audit operasional dan audit sistem informasi dan keuangan adalah
bahwa lingkup audit sistem informasi dibatasi pada pengendalian internal, sementara lingkup
audit keuangan dibatasi pada ouput sistem. Sebaliknya, lingkup audit operasional lebih luas,
melintasi seluruh aspek manajemen sistem informasi.
Tujuan audit operasional mencakup faktor-faktor seperti: efektivitas, efisiensi, dan pencapaian
tujuan. Langkah pertama dalam audit operasional adalah perencanaan audit, yaitu masa
pembuatan lingkup dan tujuan audit, tinjauan awal atas sistem dilakukan, dan program audit
sementara dijalankan.
Pengumpulan bukti mencakup kegiatan-kegiatan berikut ini:
- Meninjau kebijakan dokumentasi operasional
- Melakukan konfirmasi atas prosedur dengan pihak manajemen serta personil
operasional

Audit Sistem Informasi Berbasis Komputer


Page 19
- Mengamati fungsi-fungsi dan kegiatan operasional
- Menguji akurasi informasi operasional
- Menguji pengendalian

Menjadi auditor operasional yang baik adalah orang yang memiliki pelatihan dan pengalaman
audit serta beberapa tahun pengalaman di posisi manajerial.

Audit Sistem Informasi Berbasis Komputer


Page 20