BAB 13

AUDITING TEKNOLOGI INFORMASI

A. Konsep Auditing Sistem Informasi

Istilah auditing sistem informasi digunakan umumnya untuk menjelaskan dua jenis
aktivitas yang terkait dengan komputer. Salah satunya adalah untuk menjelaskan proses
mengkaji ulang dan mengevaluasi pengendalian internal dalam sebuah sistem pemrosesan
data elektronik. Jenis aktivitas ini umumnya dilakukan oleh auditor selama menguji
kelayakan dan dapat disebut auditing melalui komputer. Penggunaan lainnya adalah untuk
menjelaskan penggunaan komputer oleh auditor untuk menjalankan beberapa kerja audit
yang biasanya akan dikerjakan secara manual. Jenis aktivitas ini normalnya dilakukan
selama proses pengujian substantif terhadap rekening-rekening neraca dan dapat disebut
auditing dengan komputer.
1. Struktur Audit Laporan Keuangan
Audit secara umum dibagi menjadi dua komponen dasar. Komponen pertama, biasa
disebut audit interim, bertujuan menetapkan seberapa besar sistem pengendalian
internal dapat diandalkan. Hal ini biasanya membutuhkan beberapa jenis pengujian
kelayakan untuk mengonfirmasi keberadaan, menilai efektivitas, dan memeriksa
kesinambungan operasi kelayakannya telah dinyatakan oleh pengendalian internal.
Komponen kedua, biasa disebut audit laporan keuangan, melibatkan pengujian
substantif. Pengujian bersifat substantif adalah verifikasi langsung angka-angka
laporan keuangan, menempatkan keandalan pengendalian internal sebagai hasil
jaminan audit interim.
2. Auditing Sekitar Komputer
Secara umum, sebuah sistem akuntansi terdiri atas input, pemrosesan, dan output.
Dalam pendekatan sekitar komputer, porsi pemrosesan diabaikan. Sebaliknya,
dokumen-dokumen sumber memasok input pada sistem yang dipilih dan disarikan
secara manual sehingga input-input tersebut dapat dibandingkan dengan outputnya.
Ketika batch diproses di dalam sistem, record-record yang diterima dan ditolak hasil
totalnya diakumulasi. Auditor menekankan pengendalian atas transaksi-transaksi yang
ditolak, melakukan koreksi atas transaksi-transaksi tersebut, dan kemudian
menyatakan kembali kelayakannya. Dengan adanya kemajuan dalam teknologi
informasi, pendekatan sekitar komputer tidak lagi digunakan secara luas.
3. Auditing Melalui Komputer
Auditing melalui komputer dapat didefinisikan sebagai proses verifikasi atas
pengendalaian dalam sebuah sistem terkomputerisasi. Pengendalian internal terdiri dari
pengendalian aplikasi serta pengendalian umum. Pengendalian umum adalah sesuatu
yang relevan bagi sistem informasi itu sendiri, sebagaimana juga pada aspek
pengembangan sistem TI. Pengendalian aplikasi dikaitkan dengan sistem aplikasi
komputer tertentu. Audit sistem informasi yang mendalam melibatkan proses
verifikasi baik pengendalian umum maupun aplikasi dalam sebuah sistem yang
terkomputerisasi.
4. Auditing dengan Komputer
 Auditing dengan komputer adalah proses penggunaan TI (teknologi informasi) dalam
sebuah auditing. TI digunakan untuk melakukan beberapa kerja audit yang biasanya
dikerjakan secara manual.
Manfaat potensial penggunaan teknologi sistem informasi dalam audit meliputi :
Kertas kerja yang dihasilkan oleh komputer umumnya lebih dapat dibaca dan
konsisten. Kertas kerja dapat juga disimpan, diakses, dan direvisi dengan mudah.
Dapat menghemat waktu dengan mengurangi penelusuran, pengecekan silang, dan
perhitungan rutin lainnya.
Perhitungan, perbandingan, dan manipulasi data lainnya dilakukan dengan lebih
akurat.
Penghitungan kajian analisis dapat dilakukan dengan lebih efisien dan lingkupnya
pun dapat diperluas.
Informasi proyek seperti anggaran waktu dan proses pemantauan waktu aktual
terhadap jumlah anggaran dapat dihasilkan dan dianalisis dengan lebih mudah.
Korespondensi audit standar seperti kuesioner dan daftar nama, surat-surat
proposal, dan bentuk laporan dapat disimpan dan dimodifikasi dengan mudah.
Moral dan produktivitas dapat ditingkatkan dengan mengurangi waktu yang
digunakan untuk tugas-tugas yang bersifat klerikal.
Peningkatan efektivitas biaya dapat dicapai dengan menggunakan kembali dan
memperluas aplikasi audit elektronik yang ada saat ini untuk audit-audit
berikutnya.
Mampu meningkatkan independensi personel sistem informasi.

B. Teknologi Auditing Sistem Informasi

1. Data Pengujian
Data pengujian adalah input yang disiapkan oleh auditor yang berisi baik data yang
valid maupun yang tidak valid. Sebelum memproses data pengujian, input tersebut
diproses secara manual untuk menentukan output seperti apa yang diinginkan. Auditor
kemudian membandingkan output data pengujian dengan hasil yang diproses secara
manual. Jika hasil yang diperoleh tidak seperti yang diharapkan, auditor akan mencoba
untuk menentukan penyebab perbedaan.
Data pengujian dapat dilakukan dengan membuat bentuk input untuk uji transaksi
fiktif atau dengan cara lainnya, dengan mengkaji ulang data input aktual dan memilih
beberapa transaksi riil untuk pemrosesan sebagai data pengujian. Teknik lainnya yang
jarang digunakan adalah menciptakan data pengujian dengan menggunakan generator
data pengujian yang secara khusus didesain dengan program komputer untuk
menciptakan data pengujian komprehensif berdasarkan parameter-parameter input
yang menjelaskan sifat dasar pengujian program tersebut.
2. Pendekatan Fasilitas Uji Terintegrasi
Fasilitas uji terintegrasi (ITF) adalah penggunaan data pengujian dan juga penciptaan
entitas fiktif pada file utama sebuah sistem komputer. Teknik ini terintegrasi karena
data pengujian diproses bersamaan dengan transaksi-transaksi riil untuk dibandingkan
dengan file-file utama yang ada saat ini yang memuat entitas yang riil dan fiktif. Jadi,
pemeriksaan audit dibuat sebagai bagian dari siklus pemrosesan normal, yang
 memastikan bahwa program yang sedang diperiksa adalah identik dengan program
yang memproses data riil.
3. Simulasi Paralel
Metode data pengujian dan ITF merupakan proses data pengujian melalui program riil.
Simulasi paralel memproses data riil melalui pengujian atau program audit. Output
yang disimulasi dan output reguler dibandingkan demi tujuan pengawasan. Jumlah
pemrosesan yang berlebih yang dihasilkan oleh pengujian atau program audit tersebut
biasanya dibatasi untuk bagian-bagian tertentu yang merupakan bagian utama yang
ingin diaudit.
4. Perangkat Lunak Audit
Perangkat lunak audit meliputi program-program komputer yang memungkinkan
komputer digunakan sebagai alat auditing. Komputer diprogram untuk membaca,
menyeleksi, mengekstrak, dan memproses data contoh dari file komputer. Jenis
perangkat lunak audit yang biasa digunakan adalah jenis perangkat lunak audit yang
telah didesain khusus, yang dikenal sebagai generalized audit software (GAS), dan
paket perangkat lunak PC.
Generalized audit software (GAS) didesain secara khusus untuk memungkinkan
auditor dengan keahlian komputer yang tidak terlalu canggih untuk menjalankan audit
yang terkait dengan fungsi-fungsi pemrosesan data. Paket-paket tersebut dapat
menjalankan beberapa tugas tertentu seperti menyeleksi data sampel dari file-file,
memeriksa perhitungan, dan mencari file-file untuk item-item yang tidak biasa.
Perangkat lunak ini dapat pula menggabungkan beberapa tampilan khusus yang
berguna bagi auditor.
Paket PC software general purpose seperti perangkat lunak pengolah kata dan
spreadsheet telah memiliki banyak aplikasi audit. Dan perangkat lunak untuk tujuan
tertentu yang berorientasi audit telah dikembangkan secara khusus untuk digunakan
dalam administrasi audit. Contohnya adalah ACL yang dipublikasikan oleh ACL
Software. Perangkat lunak ini memungkinkan auditor untuk menghubungkan sebuah
PC dengan mainframe atau PC klien dan kemudian mengekstrak dan menganalisis
data. ACL mengakses file-file dalam bentuk aslinya tanpa perlu dikonversi terlebih
dahulu.
5. Embedded Audit Routine
Embedded audit routine adalah sebuah teknologi audit yang meliputi modifikasi
program-program komputer demi tujuan audit. Hal ini dicapai dengan membangun
rutin auditing khusus ke dalam program produksi reguler sehingga data transaksi atau
beberapa subbagian darinya dapat dijadikan subjek bagi analisis audit. Salah satu
teknik tersebut diberi nama embeded audit data collection. Teknik ini menggunakan
satu atau lebih modul-modul yang diprogram khusus yan dilekatkan sebagai in-line
code dalam kode program reguler untuk menyeleksi dan mencatat data untuk analisis
dan evaluasi berikutnya. Penggunaan in-line code berarti bahwa program aplikasi
menjalankan fungsi pengumpulan data audit bersamaan dengan program tersebut
memproses datauntuk tujuan produksi normal.
Kriteria audit untuk menyeleksi dan mencatat transaksi dengan modul-modul
embedded (dilekatkan) harus disediakan oleh auditor. Dalam pendekatan yang disebut
 system control audit review file (SCARF), pegujian-pengujian terhadap edit-program
yang ditentukan auditor untuk membatasi atau menentukan kelayakan, dimasukkan
dalam program saat pertama kali program dikembangkan.
6. Extended Record
Extended record adalah modifikasi program komputer untuk menyediakan sebuah rute
audit secara komprehensif untuk transaksi-transaksi tertentu dengan cara
mengumpulkannya dalam satu data tambahan extended record yang berkaitan dengan
pemrosesan, yang biasanya tidak dikumpulkan. Karena begitu banyak langkah-langkah
pemrosesan yang berbeda yang akan dikombinasikan dalam sebuah program tunggal,
langkah-langkah yang mengganggu sering membuat rute audit hilang.
7. Snapshot
Snapshot adalah upaya yang menyediakan gambaran komprehensif terhadap proses
kerja sebuah program pada suatu titik waktu tertentu. Snapshot merupakan teknik
program-debugging yang umum dikenal. Snapshot merupakan penambahan kode
program yang menyebabkan program mampu mencetak isi area memori tertentu pada
saat dan selama proses, ketika kode snapshot tersebut dijalankan. Sebagai peranti
audit, kode snapshot dapat ditambahkan ke area program yang diinginkan oleh auditor
dan dijalankan hanya untuk transaksi-transaksi yang dikecualikan untuk kepentingan
uji-edit yang telah ditentukan sebelumnya.
8. Tracing
Tracing adalah teknik audit lainnya yang berasal dari program bantu debugging.
Tracing sebuah eksekusi program menyediakan rute rinci audit atas instruksi-instruksi
yang dijalankan selama pengoperasian program. Demi kepentingan audit, tracing dapat
digunakan untuk memverifikasi bahwa pengendalian internal dalam sebuah program
aplikasi dapat dieksekusi ketika program tersebut memproses data pengujian. Tracing
juga mengindikasikan bagian-bagian dalam kode program yang tidak dieksekusi, yaitu
situasi yang di dalamnya beberapa kejadian telah menghasilkan temuan ketidak-
tepatan atau modifikasi yang tidak diotorisasi pada sebuah program.
9. Dokumentasi Tinjauan Sistem
Dokumentasi tinjauan sistem, seperti deskriptif naratif, flowchart, dan daftar program,
mungkin merupakan teknik auditing sistem informasi yang paling tua dan masih tetap
digunakan secara luas. Pendekatan ini akan cocok khususnya pada audit tahap awal
sebagai persiapan untuk seleksi dan penggunaan teknologi audit langsung lainnya.
Jenis kajian ulang lainnya pun memungkinkan. Seorang auditor dapat meminta
personel komputer untuk melakukan dump terhadap sebuah file komputer, yaitu
menyediakan bagi auditor sebuah daftar lengkap isi file. Atau, auditor dapat meminta
dump daftar bahasa sumber program. Daftar ini dapat dikaji ulang secara manual oleh
auditor. Janis lain program dokumentasi yang dapat diuji adalah pengoperasian
dokumentasi yang dilakukan oleh banyak sistem komputer sebagai bagian rutin
operasi.
10. Flowchart Pengendalian
Dalam banyak kasus, dokumentasi khusus untuk kepentingan auditing dikaji ulang dan
dikembangkan untuk menunjukkan sifat dasar pengendalian aplikasi dalam sebuah
sistem. Dokumentasi ini disebut flowchart pengendalian. Flowchart analitik, flowchart
 sistem, dan teknik grafis lainnya digunakan untuk menggambarkan berbagai
pengendalian dalam sebuah sistem.
11. Mapping
Bukti audit yang lebih bersifat langsung yang berkaitan dengan program dapat
diperoleh dengan memonitor pengoperasian sebuah program dengan paket pengukuran
perangkat lunak khusus. Teknik audit ini disebut pemetaan (mapping). Perangkat
lunak ini khusus digunakan untuk memonitor eksekusi sebuah program yang dilakukan
dengan menghitung berapa kali setiap pernyataan dalam tiap program dieksekusi dan
dengan memberikan ringkasan statistik yang berkaitan dengan penggunaan sumber
daya. Pemetaan dapat digunakan secara efektif bersama-sama dengan teknik data
pengujian.

C. Berbagai Jenis Audit Sistem Informasi

1. Pendekatan Umum pada Audit Sistem Informasi
Hampir semua pendekatan untuk sebuah audit sistem informasi mengikuti beberapa
variasi dari sebuah struktur tiga tahap. Tahap pertama terdiri atas kaji ulang awal dan
evaluasi wilayah yang akan diaudit dan persiapan rencana audit. Tahap ini akan
menentukan serangkaian tindakan yang akan dilakukan audit dan meliputi keputusan-
keputusan yang berkaitan dengan wilayah-wilayah tertentu yang akan diinvestigasi,
penggunaan tenaga kerja audit, teknologi audit yang akan digunakan, dan
pengembangan anggaran waktu dan atau biaya audit itu sendiri. Tahap kedua adalah
kaji ulang dan evaluasi pengendalian yang terperinci. Dalam tahap ini, upaya
diarahkan pada penemuan fakta dalam bidang/wilayah yang dipilih untuk diaudit.
Tahap ketiga meliputi pengujian kelayakan dan diikuti dengan analisis dan pelaporan
hasil. Tahap ini menghasilkan bukti kepatuhan terhadap prosedur yang telah
ditetapkan.
2. Audit Aplikasi Sistem Informasi
Pengendalian aplikasi dibagi menjadi tiga wilayah umum : input, pemrosesan, dan
output. Audit aplikasi biasanya meliputi pengkajian ulang pengendalian yang ada di
setiap wilayah tersebut. Dan berdasarkan teknik penelusuran manual biasa dan
penjaminan (vouching), seluruh teknologi audit yang dibicarakan terdahulu adalah
relevan. Teknologi khusus yang digunakan akan tergantung pada kecerdasan sumber
daya yang dimiliki auditor.
3. Audit Pengembangan Sistem Aplikasi
Audit pengembangan sistem diarahkan pada aktivitas analisis sistem dan programer
yang mengembangkan dan memodifikasi program-program aplikasi, file dan prosedur-
prosedur yang terkait. Tiga wilayah umum yang menjadi perhatian audit dalam proses
pengembangan sistem adalah standar pengembangan sistem adalah standar
pengembangan sistem, manajemen proyek, dan pengawasan perubahan program.
Standar pengembangan sistem adalah dokumentasi yang berkaitan dengan desain,
pengembangan, dan implementasi sistem aplikasi. Pengembangan standar memastikan
bahwa pengendalian aplikasi yag memadai adalah sesuatu yang diperhatikan, dipilih
dan diimplementasikan dalam sistem aplikasi; bahwa tersedia rute audit yang
 memadai; dan bahwa tingkat yang sesuai dalam kemampuan untuk dapat dioperasikan
dan dipelihara dicapai setelah implementasi dilakukan.
Pengendalian manajemen proyek mengukur dan mengendalikan kemajuan selama
pengembangan sistem aplikasi. Manajemen proyek terdiri atas perencanaan proyek
dan pengawasan proyek.
Pengendalian perubahan program berkaitan dengan pemeliharaan program-program
aplikasi. Tujuan pengendalian adalah untuk mencegah perubahan yang melanggar
kewanangan dan berpotensi menimbulkan kecurantgan terhadap program-program
yang telah diterima dan diuji sebelumnya.
4. Audit Pusat Layanan Komputer
Normalnya, sebuah audit terhadap pusat layanan komputer dilaksanakan sebelum
audit aplikasi untuk memastikan integritas secara umum atas lingkungan yang di
dalamnya aplikasi akan berfungsi. Pengendalian umum yang mengatur operasi pusat
layanan komputer melengkapi pengendalian aplikasi yang dikembangkan dalam sistem
aplikasi tertentu. Pengendalian umum yang mengatur operasi komputer juga
membantu memastikan ketersediaan yang berkesinambungan atas sumber daya pusat
layanan komputer.