NPM 1521210009

NAMA Dika Tondo Widakdo

KELAS MTI - 13 B
MATA KULIAH AUDIT SISTEM INFORMASI
DOSEN Dr. Eng. Mardiana, S.T., M.T

UJIAN TENGAH SEMESTER

AUDIT SISTEM INFORMASI

1. Pengertian dan Lingkup Audit Sistem Informasi serta yang membedakan Audit Sistem
Informasi dengan audit audit yang lainnya.

Pengertian Audit Sistem Informasi : proses pengumpulan dan pengevaluasian bukti untuk
menentukan apakah sistem komputer dapat melindungi aset, memelihara integritas data,
memungkinkan tujuan organisasi untuk dicapai secara efektif dan menggunakan sumber daya
secara efisien.

Ruang lingkup Audit Sistem Informasi (SI) : sebagai audit operasional terhadap fungsi sistem
informasi (IT governance), audit objective-nya adalah melakukan assessment terhadap
efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi suatu organisasi.

Berbagai jenis penugasan audit sistem informasi yang dapat dilaksanakan pada suatu organisasi,
misalnya sebagai berikut:

Untuk mengidentifikasi sistem yang ada (inventory existing systems), baik yang ada pada
tiap divisi/unit/departemen ataupun yang digunakan menyeluruh.
Untuk dapat lebih memahami seberapa besar sistem informasi mendukung kebutuhan
strategis perusahaan, operasi perusahaan, mendukung kegaitan operasional
departemen/unit/divisi, kelompok kerja, maupun para petugas dalam melaksanakan
kegiatannya.
Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan atau business
processes yang didukung dengan sistem serta teknologi informasi yang ada.
Untuk menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh sistem dalam
rangka mendukung kebutuhan para pemakainya.
Untuk mengetahui keterkaitan antara data, sistem pengolahan dan transfer informasi.
Untuk mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan.
Untuk membuat peta (map) dari information flows yang ada.

Yang membedakan Audit Sistem Informasi dengan audit lainnya adalah : lingkup audit
system informasi dibatasi pada pengendalian internal, sementara lingkup audit keuangan dibatasi
pada output system. Sebaliknya lingkup audit operasional lebih luas, melintasi seluruh aspek
manajemen system informasi.
2. Tahapan Audit Sistem Informasi :

Tahapan audit menurut Gallegos. Dalam bukunya "Audit and Control of Information System"
yang mencakup beberapa aktivitas yaitu perencanaan (Planning), pemeriksaan lapangan (Field
Work), pelaporan (Reporting) dan tindak lanjut (Follow up).

Perencanaan (Planning)

Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek
yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada
organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang
diteliti serta strategi, kebijakan-kebijakan yang terkait dengan investigasi.

Perencanaan meliputi beberapa aktivitas utama, yaitu:

Penetapan ruang lingkup dan tujuan audit

Pengorganisasian tim audit
Pemahaman mengenai operasi bisnis klien
Kaji ulang hasil audit sebelumnya
Penyiapan program audit

Pemeriksaan Lapangan (Field Work)

Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara
mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan
berbagai metode pengumpulan data.

Pelaporan (Reporting)
Audit Sistem Informasi - Setelah proses pengumpulan data, maka akan didapat data yang akan
diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan
dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level
dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner.
Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan
kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan
analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap).

Tindak Lanjut (Follow Up)

Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan
perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan
menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya
menjadi acuhan untuk perbaikan dimasa yang akan datang.
3. Efisiensi dan Efektifitas Audit Berbasis Komputer dibandingkan Audit Manual.

Pada dasarnya, pekerjaan audit menggunakan sistem manual (yang kemudian disebut audit
manual) dengan audit menggunakan sistem berbasis komputer atau PDE (yang kemudian disebut
audit komputer) sebenarnya tidak memiliki perbedaan khusus. Audit manual maupun audit
komputer sama-sama memiliki batasan, jenis, tujuan, standar, serta substansi auditing yang sama.
Yakni memiliki pengertian sebagai sebuah kegiatan pengumpulan dan evaluasi bukti tentang
informasi untuk menentukan dan melaporkan derajat kesesuaian antara informasi tersebut
dengan kriteria yang telah ditetapkan. Dan hal tak kalah penting adalah auditing harus dilakukan
oleh orang yang kompeten dan independen. (Arens dan Loebbecke)

Meskipun memiliki jiwa yang serupa, namun tetap terdapat perbedaan antara keduanya.
Perbedaan ini hanya terletak pada pemrosesan kegiatan yang dilakukan. Audit berbasis computer
terasa lebih modern dengan adanya perbedaan cara pemrosesan informasi dengan sistem
konvensional, yakni Electronic Data Processing (PDE). Sedangkan untuk audit konvensional,
meskipun kematangan konsep sangat diutamakan, namun pdalam pelaksanaan prosesnya lebih
lambat dan repot.

Dari perbedaan mendasar tersebut dapat dijabarkan pula beberapa perbedaan dasar lainnya.
Antara lain:

1. Teknik Audit

Audit PDE menggunakan program khusus berbantuan computer, sedangkan audit manual masih
menggunakan teknik lama yang konvensional, mulai dari inspeksi, observasi, wawancara, hingga
rekonsiliasi dan lain-lain.

Audit PDE lebih bersahabat, karena paperless, waktunya lebih singkat, serta prosesnya lebih
simple daripada menggunakan sistem audit manual.

2. Kesalahan yang berulang terus

Jika audit dikerjakan menggunakan program yang sama dalam audit PDE, kemungkinan akan
terus menerus terjadi kesalahan yang sama. Namun dalam audit manual, kemungkinan terjadi
kesalahan yang berulang akan semakin kecil.

3. Audit Trail

Jejak audit yang muncul pada audit PDE bersifat jangka pendek, atau hanya bisa dibaca oleh
komputer, dimana program untuk masing-masing laporan keuangan adalah independen, sehingga
satu transaksi dapat diproses untuk beberapa tujuan, hingga laporan keuangan. Sedang untuk
audit manual, jejak audit terlihat secara fisik (jangka panjang), sehingga satu transaksi tidak
dapat berproses untuk beberapa tujuan. Selain itu, jejak fisik audit memungkinkan seseorang
berbagi informasi akuntansi tentang perusahaan kepada pihak yang tidak dikehendaki.
4. Pemisahan Tugas

Kemudahan memproses informasi melalui computer dalam audit PDE memungkinkan satu orang
mampu menguasai transaksi dari awal sampai akhir. Karena itu harus ada pengendalian
manajemen untuk mengatasi hal ini. Namun dalam audit manual, pemisahan tugas merupakan
hal wajib untuk mendapatkan opini wajar tanpa pengecualian, sehingga internal control nya lebih
terjaga.

5. Ketergantungan pada Software dan Hardware

Ketergantungan pada hardware dan software dalam penggunaan sistem audit PDE memunculkan
potensial loss yang tinggi, akibat pengelolaan input, proses, output, dan penyimpanan dat adalam
bentuk standar. Sedang untuk audit manual potensi kerugiannya lebih kecil, karena jejak audit
tersedia, serta pengelolaan input, proses, output, dan penyimpanan data yang terpisah.

6. Audit Risk

Risiko dalam audit PDE lebih besar, karena pengolahan transaksi melalui proses yang seragam,
pengolahan transaksi yang kadang tidak logis atau tidak wajar, yang hanya dapat dideteksi oleh
manusia, serta tentang kesalahan yang berulang sebagaimana telah dijelaskan dalam poin 2 di
atas.

7. Manfaat Penilaian Internal Control

Untuk audit PDE, internal control lebih signifikan terjadi karena adanya proses yang lebih efisien
dan efektif menggunakan program computer. Terutama dalam hal pengubahan data dan otorisasi,
audit PDE memiliki proses yang lebih mudah dan akurat.

8. Cara Audit

Cara audit pada Audit PDE ada 3 tahap, yakni audit around the computer, audit through the
komputer, serta audit with the computer. Untuk cara audit dala Audit Manual menggunakan
proses Trace Back informasi akuntansi ke bukti transaksi asalnya.

9. Bukti Audit

Pengumpulan bukti yang handal lebih sulit dilakukan dalam praktek audit PDE, begitu juga
dalam evaluasinya. Sedang dalam audit manual masih menggunakan teknik : inspeksi, observasi,
wawancara, konfirmasih, prosedur analitis, vouching, verifikasi, rekonsiliasi, dsb.

10. Pengetahuan Auditor

Jika akan mengaudit menggunakan sistem PDE, tentu auditor tidak hanya dituntut memiliki
kompetensi teknis tentang knowledge dan profesi nya saja, melainkan juga keahlian tentang
komputer. Berbeda dengan sistem manual yang kurang mementingkan keahlian komputer.
4. DAMPAK TEKNOLOGI INFORMASI DALAM PROSES AUDIT
Para auditor bertanggung jawab untuk mendapatkan pemahaman atas pengendalian internal,
mereka harus memiliki pengetahuan mengenai pengendalian umum dan aplikasi, apakah klien
menggunakan aplikasi TI yang sederhana atau yang kompleks. Pengetahuan akan pengendalian
umum meningkatkan kemampuan auditor untuk mengukur dan mengandalkan pengendalian
aplikasi yang efektif untuk mengurangi risiko pengendalian untuk tujuan audit yang terkait. Bagi
auditor perusahaan publik yang harus menerbitkan opini atas pengendalian intrenal terhadap
laporan keuangan, pengetahuan terhadap umum maupun pengendalian aplikasi merupakan hal
yang penting.

5. Cara Kerja, Fungsi dan Contoh dari GAS (General Audit Software)
GAS adalah perangkat lunak audit yang secara khusus didesain untuk memungkinkan auditor
melakukan fungsi pemrosesan data audit yang terkait. GAS didesain untuk memungkinkan
auditor dengan keahlian komputer yang tidak terlalu canggih untuk menjalankan audit yang
terkait dengan fungsi-fungsi pemrosesan data. Paket-paket tersebut dapat menjalankan beberapa
tugas tertentu seperti menyeleksi data sampel dari file-file, memeriksa perhitungan, dan mencari
file-file untuk item-item yang tidak biasa.

Fungsi GAS:
a. Memungkinkan auditor untuk mengakses catatan computer yang dapat dibaca untuk berbagai
macam aplikasi dan organisasi.
b. Memungkinkan auditor untuk memeriksa lebih banyak data daripada jika auditor masih
menggunakan proses manual.
c. Dapat melakukan berbagai macam fungsi audit secara cepat dan akurat, termasuk pemilihan
sample secara statistic.
d. Mengurangi ketergantungan pada nonauditing personel untuk melakukan peringkasan data,
dengan demikian auditor dapat mengelola pengendalian audit yang lebih baik.
e. Auditor hanya memerlukan pengetahuan yang cukup (tidak begitu dalam) tentang computer.

Contoh contoh GAS :

Contoh audit yang khas yang tersedia pada paket GAS:
a. Extracting data from files, GAS harus mempunyai kemampuan untuk menyuling dan retrieve
data dari berbagai struktur, media, dan bentuk catatan file pada saat digunakan untuk mengaudit
perusahaan yang bervariasi. Setelah di suling, data diedit dan kemdian ditransfer pada audit work
file, penyimpanan data tersedia untuk digunakan dengan program lain yang ada pada GAS
b. Calculating With data,beberapa step dalam audit terdiri dai addition, subtraction,
multiplication dan division operation. Contohnya koreksi jurnal dilakuka dengan menjural ulang.
c. Performing comparisons with data, perbandingan mungkin dilakukan untuk menyeleksi data
elemen untuk di tes untuk memastikan adanya konsistensi diantara data elemen dan untuk
memverifikasi apakah kondisi tertentu telah didapat. GAS seharusnya menyediakan logical
operator seperti equal, less than, dan greater than.
d. Sumarizing data, data elements harus sering di ringkas untuk memberikan dasar untuk
perbandingan. Contoh: list detail gaji harus diringkas untuk dibandingkan dengan laporan
penggajian.
e. Analyzing data, berbagai data harus dianalisis untuk memberikan dasar review atas trend
perusahaan. Contohnya, piutang harus ditaksir umurnya utuk menentukan kemungkinan piutang
tersebut dapat ditagih.
f. Reorganizing data, data elemen perlu untuk di sortir atau digabungkan. Contohnya: berbaga
produk yang dijual perusahaan boleh mungkin di re-sorted secara ascending berdasar jumlah
total penjualan untuk membantu analisis penjualan.
g. Select sample for testing. Dalam audit, tidak semua data dapat di uji. Sample harus diambil
secara random. Contohnya sample customer dapat dipilih secara random dari catatan piutang
dagang.
h. Gathering statistical data, seorang auditor sering membutuhkan data-data statistik. Contohnya:
mean dan median dari penjualan produk.

6. Point apa dijadikan concern untuk audit internal di IBI Darmajaya

Dalam study kasus ini penulis mencoba melakukan Audit Sistem Informasi Pada Bagian
Ekstrakurikuler dan Alumni di IBI Darmajaya, dalam melaksanakan pembinaan terhadap
mahasiswa dan alumni apakah pada perkuliahan dan kegiatan penunjang sudah sesuai dengan
standar yang diinginkan atau bahkan belum dilakukan secara efektif dan efisien, Sehingga perlu
dilakukan audit guna mengetahui apakah proses yang berjalan sudah sesuai dengan standar yang
diinginkan.

Melakukan evaluasi dan audit terhadap pembinaan terhadap mahasiswa dan alumni, hasilnya
diperoleh dari audit sistem informasi dapat dijadikan acuan pelayanan yang sesuai dengan
standar yang telah ditentukan. Dalam hal ini Domain yang digunakan dalam study kasus ini
iyalah PO8 (Mengelola Kualitas), DS5 (Memastikan Keamanan Sistem), DS10 (Mengelola
Permasalahan), DS11 (Mengelola Data)
7. Kaitan kasus pada no.6 dengan standard COBIT
Dalam pengimplementasian Audit menggunakan standard COBIT penulis menjabarkan Domain
yang digunakan seperti berikut ini :

PO8 Mengelola Kualitas

PO8.1 Sistem Pengelolaan Mutu (Quality Management System-QMS)

PO8.2 Praktik Standar dan Kualitas IT

PO8.3 Standar Pengembangan dan Pemerolehan

PO8.4 Fokus Pelanggan

PO8.5 Peningkatan Yang Berkelanjutan

PO8.6 Pengukuran, Pengawasan, dan Peninjauan Kualitas

DS5 Memastikan Keamanan Sistem

DS5.1 Pengelolaan Keamanan IT

DS5.2 Rencana Keamanan IT

DS5.3 Pengelolaan Identitas

DS5.4 Pengelolaan Akun Pengguna

DS5.5 Pengujian, Pengawasan, dan Pemantauan Keamanan

DS5.6 Ketentuan Insiden Keamanan

DS5.7 Perlindungan Teknologi Keamanan

DS5.8 Pengelolaan Kunci Kriptografi

DS5.9 Pencegahan, Pendeteksian, dan Pengkoreksian Software Jahat

DS5.10 Keamanan Jaringan

DS5.11 Pertukaran Data Sensitif

DS10 Mengelola Permasalahan

DS10.1 Identifikasi dan Klasifikasi Permasalahan

DS10.2 Penelusuran dan Penyelesaian Masalah

DS10.3 Penutupan Masalah

DS10.4 Integrasi Konfigurasi, Insiden, dan Pengelolaan Permasalahan

DS11 Mengelola Data

DS11.1 Persyaratan Bisnis Untuk Pengelolaan Data

DS11.2 Susunan Penyimpanan dan Ingatan

DS11.3 Sistem Pengelolaan Perpustakaan Media

DS11.4 Pemusnahan

DS11.5 Backup dan Penyimpanan Kembali

DS11.6 Persyaratan Keamanan Untuk Pengelolaan Data

Setelah dilakukannya proses Audit diketahui bahwa Cobit berorientasi pada proses, dimana
secara praktis COBIT dijadikan suatu standar panduan untuk membantu mengelola suatu
organisasi mencapai tujuannya dengan memanfaatkan IT, Untuk melakukan audit ini
menggunakan proses PO8 pada domain Planning and Organisation DS5, DS10 dan DS11 pada
domain Deliver and Service.