Audit Sistem Informasi

Para auditor disewa untuk berbagai jenis tugas dan tanggung

jawab. Banyak organisasi yang mempekerjakan auditor internal
untuk mengevaluasi jalannya operasi perusahaan. General
Accounting Office dan pemerintah negara bagian juga
mempekerjakan auditor untuk mengevaluasi kinerja
manajemen dan kesesuaian dengan keinginan legislatif dalam
berbagai departemen milik pemerintah. Departemen
Pertahanan mempekerjakan auditor untuk melakukan tinjauan
atas catatan keuangan perusahaan¬-perusahaan yang memiliki
kontrak peralatan pertahanan. Perusahaan-perusahaan terbuka menyewa auditor eksternal untuk
memberikan tinjauan independen atas laporan keuangan mereka.

Auditor internal secara langsung bertanggung jawab untuk membantu pihak manajemen
meningkatkan efektivitas dan efisiensi organisasional, termasuk membantu mendesain dan
mengimplementasikan SIA yang memberikan kontribusi pada tujuan perusahaan. Sebaliknya,
auditor eksternal terutama bertanggung jawab pada pihak-pihak yang berkepentingan terhadap
perusahaan dan investor, dan hanya secara tidak langsung berkepentingan dalam efektivitas SIA
perusahaan. Di luar perbedaan ini, banyak konsep dan teknik audit internal yang dapat diterapkan
untuk audit eksternal.

Sifat Audit.

American Accounting Association telah merumuskan definisi umum berikut ini untuk audit. Audit
adalah sebuah proses sistematis untuk secara objektif mendapatkan dan mengevaluasi bukti
mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk
memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria
yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para
pemakai yang berkepentingan.
Audit membutuhkan pendekatan langkah per langkah yang dibentuk dengan
perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati. Dalam
membuat rekomendasi, auditor membuat kriteria-kriteria, seperti prinsip-prinsip manajemen dan
pengendalian, sebagai dasar evaluasi.

Para auditor biasanya mengaudit di luar komputer

(audit around the computer) dan tidak
menghiraukan komputer dan program-programnya.
Mereka hanya mempelajari catatan dan output dari
sistem tersebut, dan berpikir jika output telah
dengan benar dihasilkan dari input sistem, maka
pemrosesan pastilah andal.

Pendekatan yang lebih baru, yaitu audit melalui komputer (audit

through the computer), menggunakan komputer untuk memeriksa
kecukupan pengendalian sistem, data dan ouput.

Standar-standar Audit Internal.

 Berdasarkan Institute of Internal Auditor (IIA), tujuan dari audit
internal adalah untuk mengevaluasi kecukupan dan efektivitas sistem
pengendalian internal perusahaan, serta menetapkan keluasan dari
pelaksanaan tanggung jawab yang benar-benar dilakukan. Kelima
standar lingkup audit IIA memberikan garis besar atas tanggung
jawab auditor internal:

1. Melakukan tinjauan atas keandalan dan integritas informasi operasional dan

keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi
dan dilaporkan.
2. Menetapkan apakah sistem. telah didesain untuk sesuai dengan kebijakan
operasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan
yang berlaku.
3. Melakukan tinjauan mengenai bagaimana aset dijaga, dan memverifikasi
keberadaan aset tersebut.
4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif
dan efisien mereka digunakan.
5. Melakukan tinjauan atas operasional dan program perusahaan, untuk
menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah
mereka dapat memenuhi tujuan-tujuan mereka. .
( Committee on Basic Auditing Concepts. A Statement of Basic Auditing Concepts
(Sarasota. FL.: American Accounting Association. 1973). 2.)

Berbagai organisasi sekarang ini, menggunakan SIA

terkomputerisasi untuk memproses, menyimpan, clan mengendalikan informasi
perusahaan. Untuk mencapai kelima tujuan yang telah disebutkan di atas, seorang
auditor internal memiliki kualifikasi untuk memeriksa seluruh elemen SIA yang
terkomputerisasi dan menggunakan komputer sebagai alat untuk mencapai
tujuan-tujuan audit tersebut. Dengan kata lain, keahlian komputer merupakan hal
yang penting untuk melaksanakan audit internal.

Jenis-jenis Kegiatan Audit Internal

Terdapat tiga jenis audit yang biasanya dilakukan, yaitu:

1. Audit Keuangan memeriksa keandalan dan integritas catatan-catatan
akuntansi (baik informasi keuangan dan operasional) dan
menghubungkannya dengan standar pertama dari kelima standar lingkup
audit internal.
2. Audit Sistem Informasi melakukan tinjauan atas pengendalian SIA untuk
menilai kesesuaiannya dengan kebijakan dan prosedur pengendalian serta
efektivitas dalam menjaga aset perusahaan. Lingkupnya secara kasar
berhubungan dengan standar kedua dan ketiga dari IIA.
 3. Audit Operasional atau Manajemen berkaitan dengan penggunaan
secara ekonomis dan efisien sumber daya, serta pencapaian sasaran dan
tujuan yang telah ditetapkan. Lingkupnya berhubungan dengan standar
keempat dan kelima.

Tinjauan Menyeluruh Proses Audit

Seluruh audit menggunakan urutan kegiatan yang hampir
sama, hingga dapat dibagi ke dalam empat langkah:

 Merencanakan Audit
 Mengumpulkan bukti,
 Mengevaluasi bukti, dan
 Mengkomunikasikan hasil audit.
Gambar DD-1 menyajikan tinjauan menyeluruh proses audit, dengan
menspesifikasikan beberapa prosedur yang biasanya dilakukan untuk setiap tahap
tersebut.

Merencanakan Audit.
Tujuan dari perencanaan audit adalah untuk menetapkan mengapa,
bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama
dalam perencanaan audit adalah menetapkan lingkup dan tujuan audit.
Contohnya, lingkup audit sebuah perusahaan terbuka meluas hingga ke para
pemegang saham perusahaan dengan tujuan mengevaluasi kejujuran penyajian
laporan keuangan. Sebaliknya, audit internal mungkin memeriksa seluruh divisi,
departemen tertentu, atau sebuah aplikasi komputer. Audit internal dapat
berfokus. pada pengendalian internal, informasi keuangan, kinerja operasional,
atau beberapa kombinasi dari ketiga audit tersebut.
Sebuah tim audit yang memiliki pengalaman dan keahlian yang
dibutuhkan akan dibentuk. Para anggota tim menjadi lebih dalam
mengenali pihak yang diaudit (auditee) melalui diskusi dengan
personil tingkat supervisor dan operasional, melakukan tinjauan atas
dokumentasi sistem, dan melakukan tinjauan atas penemuan-
penemuan dalam audit terdahulu.
Untuk mematangkan tahap perencanaan, sebuah program audit awal
dipersiapkan untuk menunjukkan sifat, keluasan, dan waktu prosedur-prosedur
yang dibutuhkan untuk mencapai tujuan audit dan untuk meminimalkan risiko-
risiko audit. Suatu anggaran waktu dipersiapkan, dan para anggota staf akan
ditugaskan untuk melaksanakan langkah-langkah audit tertentu.

Resiko dalam Audit pada Proses Perencanaan Audit.

Sebuah audit harus direncanakan sedemikian rupa agar

sebagian besar kegiatan audit berfokus pada area-area
yang memiliki faktor-faktor risiko tertinggi. Ada tiga jenis
risiko dalam melakukan audit, yaitu:
 1. Risiko Inheren adalah toleransi atas risiko yang material dengan
mempertimbangkan ketidakberadaan pengendalian. Contohnya, sebuah
system yang menerapkan pemrosesan on-line, jaringan, software database,
telekomunikasi,’ dan bentuk teknologi canggih lainnya, memiliki lebih banyak
risiko inheren daripada suatu sistem pemrosesan batch yang tradisional.
2. Risiko Pengendalian adalah risiko yang timbul dari kesalahan penyajian
yang material dan berdampak hingga ke struktur pengendalian internal serta
ke laporan keuangan. Sebuah.perusahaan yang memiliki pengendalian
internal lemah memiliki lebih banyak risiko pengendalian daripada
perusahaan dengan pengendalian internal yang kuat. Risiko pengendalian
dapat ditetapkan dengan cara melakukan tinjauan atas lingkungan
pengendalian dan mempertimbangkan kelemahan pengendalian yang
diidentifikasi dalam audit terdahulu, dan dengan mengevaluasi bagaimana
kelemahan-kelemahan tersebut telah diperbaiki.
3. Risiko Pendeteksian adalah risiko yang timbul akibat tidak dapat
terdeteksinya sebuah kesalahan atau kesalahan penyajian oleh auditor dan
prosedur audit yang dibuatnya.

Mengumpulkan bukti Audit.

Sebagian besar usaha audit dihabiskan untuk mengumpulkan bukti. Berikut ini
adalah metode-metode yang paling umum digunakan untuk mengumpulkan bukti
audit:
Pengamatan atas berbagai kegiatan yang
diaudit (contohnya, memperhatikan bagaimana cara para pegawai
memasuki lokasi komputer atau bagaimana personil pengendalian
data menangani kegiatan pemrosesan data begitu data diterima),
 Melakukan tinjauan atas dokumentasi untuk memahami
bagaimana suatu SIA atau sistem pengendalian internal
berfungsi.
 Diskusi dengan para pegawai mengenai pekerjaan mereka dan
bagaimana mereka melaksanakan beberapa prosedur tertentu.
 Kuesioner yang dapat mengumpulkan data mengenai sistem terkait.
 Pemeriksaan fisik jumlah dan/atau kondisi aset berwujud seperti
perlengkapan, persediaan, atau kas.
 Melakukan konfirmasi atas ketepatan informasi tertentu, seperti saldo
rekening pelanggan, melalui komunikasi dengan pihak ketiga yang
independen.
 Melakukan ulang prosedur pilihan perhitungan tertentu untuk
memverifikasi informasi kuantitatif dari beberapa catatan dan laporan
(contohnya, auditor dapat menghitung kembali suatu total batch atau
menghitung kembai beban depresiasi tahunan}.
 Pembuktian untuk mendapatkan validitas sebuah transaksi dengan cara
memeriksa seluruh dokumen pendukungnya, seperti pesanan pembelian,
laporan penerimaan, dan faktur penjualan dari pemasok yang mendukung
transaksi utang usaha.
 Tinjauan analitis atas hubungan dan tren antar informasi untuk
mendeteksi hal-hal yang harus diselidiki lebih lanjut (contohnya, seorang
auditor untuk jaringan toko baju menemukan bahwa di salah satu toko, rasio
piutang usaha terhadap penjualan sangat tinggi. Sebuah penyelidikan
mengungkap bahwa manajer toko tersebut telah mengalihkan uang dari hasil
penagihan, untuk dipakai secara pribadi).
Oleh karena banyak pengujian dan prosedur audit yang tidak layak untuk
dilaksanakan . di seluruh rangkaian kegiatan, catatan, aset, atau dokumen yang
ditinjau, pengujian dan prosedur tersebut sering kali
dilaksanakan dengan mengambil sampel. Sebuah audit biasa
umumnya akan menggunakan campuran berbagai prosedur.
Contohnya, suatu audit yang didesain untuk mengevaluasi
pengendalian internal SIA akan menggunakan lebih banyak kegiatan pengamatan,
tinjauan atas dokumentasi, diskusi dengan para pegawai, dan pelaksanaan ulang
prosedur pengendalian.

Suatu audit informasi keuangan akan berfokus pada pemeriksaan fisik, konfirmasi,
pembuktian, tinjauan analitis, dan pelaksanaan ulang proses perhitungan saldo
rekening.

Prosedur Tambahan untuk Mengumpulkan Bukti Audit.

Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan

audit tertentu, dan memutuskan apakah bukti tersebut mendukung
kesimpulan atau tidak. Apabila kurang mendukung, auditor akan
merencanakan dan melaksanakan prosedur tambahan sampai bukti
yang cukup dapat dikumpulkan untuk membuat kesimpulan yang kuat.

Materialitas dan Kepastian dalam mengumpulkan bukti

Audit.
Materialitas dan kepastian. yang wajar merupakan hal yang penting ketika
ingin memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk
mengevaluasi bukti. Oleh karena kesalahan selalu ada pada sistem manapun, para
auditor berfokus untuk mendeteksi dan melaporkan kesalahan-kesalahan yang
memiliki dampak signifikan pada interpretasl pihak manajemen atas penemuan-
penemuan audit.

Menetapkan materialitas, yaitu mengenai apa yang penting dan tidak

penting berdasarkan suatu situasi, sebagian besar merupakan masalah penilaian.
Materialitas secara umum lebih penting untuk audit eksternal, yang penekanan
umumnya adalah kejujuran penyajian laporan keuangan, bukan untuk audit
internal, yang berfokus untuk menetapkan tingkat kesesuaian dengan kebijakan
manajemen.

Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang material
dalam informasi atau proses yang diaudit. Oleh karena sangat mahal untuk
mencari kepastian yang lengkap, audit harus bersedia menerima sejumlah risiko
bahwa kesimpulan audit tidak benar. Merupakan hal yang penting untuk disadari
bahwa ketika risiko inheren atau pengendalian tinggi, auditor harus mendapatkan
keyakinan yang lebih besar untuk mengimbangi ketidakpastian dan risiko yang
lebih besar.

Laporan Temuan Bukti.

Dalam seluruh tahapan audit, penemuan dan kesimpulan dengan hati-hati
didokumentasikan dalam lembar kerja audit. Dokumentasi sangatlah penting pada
tahap evaluasi untuk mencapai dan mendukung, kesimpulan akhir.
 Auditor mempersiapkan laporan tertulis (dan kadang-kadang
lisan) yang meringkas penemuan-penemuan dan berbagai
rekomendasi audit, dengan referensi bukti pendukung dalam
lembar kerja. Laporan ini disajikan kepada pihak manajemen,
komite audit, dewan komisaris, dan pihak-pihak lain yang terkait.
Setelah hasil audit dikomunikasikan, para auditor sering kali
melaksanakan penelitian lanjut untuk memastikan bahwa
rekomendasi mereka telah diimplementasikan.

Pendekatan Audit Berdasarkan Risiko(The Risk Based Audit

Approach).

Pendekatan empat tahap berikut ini untuk evaluasi pengendalian internal; disebut
pula sebagai pendekatan audit berdasarkan risiko, dan memberikan kerangka
logika untuk melaksanakan audit:
 Tentukan ancaman-ancaman (kesalahan dan ketidakberaturan) yang
dihadapi SIA.
 Identifikasi prosedur pengendalian yang diimplementasikan untuk
meminimalkan setiap ancaman dengan mencegah afau mendeteksi
kesalahan dan ketidak¬beraturan.
 Evaluasi prosedur pengendalian. Meninjau dokumentasi sistem dan
wawancara dengan personil yang tepat untuk menetapkan apakah prosedur
yang dibutuhkan ada atau tidak, disebut pula sebagai tinjauan sistem.
Kemudian, uji pengendalian dilaksanakan untuk menetapkan apakah
prosedur-prosedur tersebut telah diikuti dengan baik. Uji ini terdiri dari
berbagai kegiatan seperti mengamati operasional sistem; memeriksa
dokumen, catatan, dan laporan; memeriksa beberapa sampel input dan
output sistem; serta menelusuri transaksi di sepanjang sistem.
 Evaluasi kelemahan (kesalahan dan ketidak-beraturan yang tidak
terungkap oleh prosedur pengendalian) untuk menetapkan pengaruhnya
atas sifat, atau keluasan prosedur audit dan saran pada klien. Langkah ini
berfokus pada risiko pengendalian dan apakah sistem pengendalian secara
keseluruhan menangani hal-hal tersebut atau tidak. Apabila kekurangan
pengendalian teridentifikasi, auditor menanyakan tentang pengendalian
pengimbang (compensating control), atau prosedur-prosedur yang
 mengimbangi kekurangan tersebut. Kelemahan pengendalian
di sebuah area mungkin dapat diterima apabila kelemahan
tersebut diimbangi dengan kelebihan pengendalian di area
lainnya.
Pendekatan berdasarkan risiko untuk audit memberikan para
auditor pemahaman yang jelas atas kesalahan dan ketidak-beraturan yang dapat
terjadi dan risiko serta pajanan(exposure) yang terkait. Pemahaman atas hal ini
memberikan dasar yang kuat untuk mengembangkan rekomendasi pada pihak
manajemen mengenai bagaimana sistem pengendalian SIA seharusnya
ditingkatkan.

Audit Sistem Informasi dan Tujuannya.

Tujuan audit sistem informasi adalah
untuk meninjau dan mengevaluasi
pengendalian internal yang
melindungi sistem tersebut. Ketika
melaksanakan audit sistem
informasi, para auditor harus
memastikan tujuan-tujuan berikut ini
dipenuhi:
1. Perlengkapan keamanan
melindungi perlengkapan
komputer, program,
komunikasi, dan data dari
akses yang tidak sah, modifikasi, atau penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan
otorisasi khusus dan umum dari pihak manajemen.
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak
manajemen.
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah
akurat dan lengkap.
5. Data sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang
tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang
telah ditetapkan.
6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
 Gambar DD-2
melukiskan hubungan
di antara keenam
tujuan ini dengan
komponen ¬
komponen sistem
informasi. Setiap
tujuan tersebut
didiskusikan secara
lebih terinci dalam
bagian berikut.

Setiap deskripsi terdiri

dari rencana untuk
mencapai setiap
tujuan di atas, dan
juga teknik serta
prosedur yang
diperlukan untuk
melaksanakan
rencana audit
tersebut.

Tujuan 1.1-Audit Sistem Informasi: Keamanan Keseluruhan.

Kirimkan tugas

Tujuan 1.2-Audit Sistem Informasi: Keamanan Keseluruhan.

Tabel DD-1 berisi kerangka untuk audit keamanan komputer. tabel tersebut
menunjukkan hal-hal berikut ini:
 Jenis kesalahan dan penipuan keamanan yang dihadapi
oleh perusahaan. Hal ini mencakup kerusakan yang disengaja
dan tidak disengaja atas aset sistem; akses tidak sah,
pengungkapan atau modifikasi data dan program; pencurian;
serta interupsi atas kegiatan bisnis yang penting.
 Prosedur pengendalian untuk meminimalkan kesalahan dan
penipuan keamanan. Hal ini mencakup mengembangkan rencana
keamanan/perlindungan informasi dari virus, mengimplementasikan firewall,
mengadakan pengendqlian atas pengiriman data, dan mencegah serta
memulihkan diri dari kegagalan sistem atau bencana’ lainnya.
  Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi
komputer; melakukan wawancara dengan para personilnya; meninjau
kebijakan dan prosedur; serta memeriksa daftar akses, kebijakan asuransi,
dan rencana pemulihan dari bencana.
 Prosedur audit pengujian pengendalian. Para auditor menguji
pengendalian keamanan dengan cara mengamati prosedur, memverifikasi
bahwa terdapat pengendalian dan pengendalian tersebut berfungsi seperti
dengan yang diharapkan, menginvestigasi berbagai kesalahan atau masalah
untuk memastikan mereka ditangani dengan benar, serta memeriksa
berbagai uji yang sebelumnya telah dilaksanakan. Contohnya, salah satu cara
untuk menguji pengendalian akses logika adalah dengan mencoba
melanggar masuk ke sistem. Selama audit keamanan sebuah badan
pemerintah Amerika Serikat, para auditor menggunakan terminal¬ terminal
badan tersebut untuk mendapatkan akses secara tidak sah ke sistem
komputer mereka, mematikan prosedur pemeriksaan keamanannya, dan
mengendalikan sistem tersebut dari terminal yang mereka pakai. Kegagalan
keamanan dapat terjadi karena kurangnya p~ngendalian administratif dan
software keamanan yang tidak memadai.
 Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah
tidak cukup, maka organisasi menghadapi risiko yang besar. Kebijakan
personil yang baik dan pemisahan tugas secara efektif atas pekerjaan yang
tidak boleh disatukan, dalam beberapa hal dapat mengimbangi keamanan
komputer yang kurang tersebut. Oleh karena hampir tidak mungkin
pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan
keamanan komputer yang kurang baik, para auditor harus sangat
merekomendasikan agar kelemahan keamanan tersebut diperbaiki.

Tujuan 2.1 – Audit Sistem Informasi: Pengembangan dan

Perolehan Program.
Tujuan 2.2 – Audit Sistem Informasi: Pengembangan dan
Perolehan Program.
Tabel DD-2 memberikan kerangka untuk meninjau dan mengevaluasi proses
pengembangan program. Dua hal yang dapat salah dalam pengembangan
program:
1. Kesalahan yang tidak disengaja karena adanya kesalahpahaman atas
spesifikasi sistem atau kecerobohan pemrograman, dan
2. Perintah tidak sah yang dengan sengaja dimasukkan ke dalam program.
Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta
persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan
dokumentasi yang memadai.

Peran auditor dalam pengembangan sistem harus dibatasi sampai pada

peninjauan independen atas kegiatan pengembangan sistem; Untuk
mempertahankan objektivitas yang dibutuhkan dalam melaksanakan
evaluasi independen atas fungsi, para auditor harus tidak dilibatkan
dalam pengembangan sistem.

Selama peninjauan sistem, para auditor harus mendapat pemahaman mengenai

prosedur pengembangan dengan mendiskusikannya bersama pihak manajemen,
pemakai sistem, dan para personil sistem informasi. Mereka juga harus meninjau
kebijakan, prosedur, standar, dan dokumentasi yang tercantum pada Tabel DD-2.
Untuk menguji pengendalian pengembangan sistem, para auditor harus
mewawancarai para manajer dan pemakai sistem, memeriksa persetujuan
pengembangan, dan meninjau notulen rapat tim pengembangan sistem. Para
auditor harus meninjau secara keseluruhan semua dokumentasi yang
berhubungan dengan proses pengujian dan memastikan bahwa seluruh perubahan
program telah diuji.

Auditor harus memeriksa spesifikasi uji, meninjau data uji, dan mengeyaluasi hasil
pengujian. Apabila hasil pengujian tidak sesuai dengan harapan, maka auditor
harus memastikan bagaimana masalah tersebut diatasi.

Pengendalian pemrosesan yang kokoh (lihat tujuan 4) kadangkala dapat

mengimbangi pengendalian pengembangan yang kurang baik. Apabila
para auditor bergantung pada pengendalian pengimbang untuk
pemrosesan, mereka harus mendapatkan bukti yang mendukung
ketaatan terhadap sistem, dengan menggunakan berbagai teknik, seperti
pengujian data pemrosesan independen.

Apabila bukti sejenis ini tidak bisa didapatkan, mereka dapat menyimpulkan
bahwa terdapat kelemahan yang material dalam pengendalian internal, dan
bahwa risiko kesalahan atau penipuan dalam program aplikasi terlalu tinggi hingga
tidak dapat diterima.

Tujuan 3.1 – Audit Sistem Informasi: Audit Modifikasi

Program.
Tujuan 3.2 – Audit Sistem Informasi: Audit Modifikasi
Program.
Tabel DD-3 menyajikan kerangka untuk melakukan audit program aplikasi dan
perubahan software sistem. Kesalahan dan penipuan yang terjadi dalam
pengembangan program dapat juga terjadi selam modifikasi program. Contoh
salah seorang programer ditugaskan untuk memodifikasi sistem penggajian
perusahaan, menyisipkan sebuah perintah untuk menghapus seluruh file komputer
apabila perintah pemberhentian dimasukkan ke dalam catatan penggajian dirinya.
Ketika programer tersebut dipecat, perintah pemberhentian yang dimasukkan ke
dalam catatannya telah menyebabkan sistem tersebut bertabrakan dan
menghapus file-file utama.
 Ketika
sebuah

perubahan
program
diserahkan untuk
persetujuan,
sebuah daftar hal-
hal yang akan
diperbarui harus
disusun dan
kemudian disetujui
oleh pihak
manajemen dan
pemakai program.
Semua perubahan
program harus diuji
secara keseluruhan
dan
didokumentasikan.
Selama proses
perubahan, versi
pengembangan
program harus
tetap dipisahkan
dari versi produksi
program. Setelah
program yang
dirubah telah
mendapatkan
persetujuan akhir,
perubahan tersebut diimplementasikan dengan cara mengganti versi produksi
dengan versi pengembangan.
Selama tinjauan sistem, auditor harus mendapatkan pemahaman atas proses
perubahan melalui diskusi dengan manajemen dan personil yang menggunakan
program tersebut. Kebijakan, ‘prosedur dan standar untuk memberikan
persetujuan, modifikasi, pengujian, dan dokumentasi perubahan harus diperiksa.
Bahan dokumentasi akhir yang lengkap untuk perubahan program yang terbaru,
termasuk prosedur dan hasil uji, harus ditinjau. Terakhir, auditor harus meninjau
prosedur yang digunakan untuk membatasi akses logika ke versi pengembangan
program tersebut.

Bagian yang penting dari uji pengendalian yang

dilaksanakan.seorang auditor adalah . memverifikasi bahwa
perubahan program telah diidentifikasi, didaftar, disetujui, diuji,
dan didokumentasikan. Langkah ini mensyaratkan auditor untuk
mengamati bagaimana perubahan diimplementasikan untuk memverifikasi bahwa
program pengembangan dan produksi yang terpisah tetap dilaksanakan, dan
bahwa perubahan tersebut diimplementasikan oleh seseorang yang independen
dari pemakai dan fungsi pemrograman. Auditor harus meninjau tabel
pengendalian akses program pengembangan untuk memverifikasi bahwa hanya
pemakai yang ditugaskan untuk melaksanakan modifikasi, yang memiliki akses ke
sistem.
Untuk menguji keberadaan perubahan program secara tidak sah, para auditor
dapat menggunakan program perbandingan kode. Setelah auditor menguji sebuah
program yang baru dikembangkan secara menyeluruh (tujuan 2), mereka
menyimpan sebuah salinan dari kode sumbernya. Di kemudian hari, auditor dapat
menggunakan program perbandingan untuk membandingkan versi terakhir
program dengan kode sumber aslinya. Apabila tidak ada perubahan yang
diotorisasi, kedua versi ini seharusnya identik. Oleh sebab itu, perbedaan yang
tidak sah akan berlanjut ke penyelidikan. Apabila perbedaan tersebut menyajikan
perubahan yang diotorisasi, auditor dapat merujuk pada spesifikasi perubahan
program untuk memastikan bahwa perubahan tersebut diotorisasi dan dengan
tepat digabungkan.

Tujuan 3.3 – Audit Sistem Informasi: Audit Modifikasi

Program.
Terdapat dua teknik tambahan untuk mendeteksi perubahan yang tidak
sah. Teknik pemrosesan ulang juga menggunakan salinan kode sumber
yang telah diverifikasi. Tanpa pemberitahuan sebelumnya, auditor
menggunakan program ini untuk memproses ulang data dan
membandingkan outputnya dengan data perusahaan.
Penyimpangan dari kedua pasang output tersebut akan diselidiki untuk
memastikan penyebabnya. Simulasi paralel hampir sama dengan teknik
pemrosesan ulang, kecuali bahwa auditorlah yang menulis program,
bukan menggunakan salinan kode sumber yang telah diverifikasi
dan disimpan.
Hasil dari simulasi auditor akan dibandingkan dengan hasil milik
perusahaan, dan perbedaan apapun akan diselidiki. Simulasi
paralel dapat digunakan untuk menguji sebuah program selama
proses implementasi.

Tujuan 3.4 – Audit Sistem Informasi: Audit Modifikasi

Program.

Para auditor harus mengamati pengujian dan implementasi, meninjau otorisasi

dan dokumen yang terkait, dan jika perlu, melaksanakan pengujian independen
untuk setiap perubahan program yang besar.
Apabila langkah ini dilewati dan pengendalian program kemudian ditemukan tidak
memadai, maka tidak mungkin mengandalkan output program.

Sebagai tambahan, para auditor harus selalu menguji program

tanpa pemberitahuan sebelumnya, sebagai tindakan pencegahan
atas perubahan program secara tidak sah, yang disusupkan setelah pemeriksaan
selesai dan kemudian disingkirkan tepat sebelum jadwal audit berikutnya.
Apabila pengendalian internal atas perubahan program kurang baik, maka
pengendalian pengimbang seperti perbandingan kode sumber, keberadaan
pengendalian pemrosesan yang baik, pengujian secara independen oleh auditor,
dalam beberapa hal dapat mengimbangi kelemahan tersebut.
Akan tetapi, jika kelemahan tersebut disebabkan karena pembatasan atas akses
file program yang tidak memadai, auditor harus sangat merekomendasikan
tindakan untuk memperkuat pengendalian akses logika di organisasi tersebut.

Tujuan 4.1 – Audit Sistem Informasi: Audit Pengendalian

Pemrosesan Komputer
Tujuan 4.2 – Audit Sistem Informasi: Audit Pengendalian
Pemrosesan Komputer

Tabel DD-4 memberikan kerangka untuk melakukan audit pengendalian

pemrosesan komputer. Fokus tujuan keempat adalah pemrosesan transaksi, file,
dan catatan komputer untuk memperbarui file serta database, dan yang
digunakan untuk menghasilkan laporan.
Dalam pemrosesan komputer, sistem dapat saja gagal mendeteksi input yang
salah, memperbaiki kesalahan input secara tidak tepat, memroses input yang
salah, atau menyebarkan atau mengungkap output secara tidak benar. Tabel DD-4
memperlihatkan prosedur pengendalian untuk mendeteksi dan mencegah
kesalahan-kesalahan ini, meninjau sistem dan uji prosedur pengendalian yang
dapat diterapkan auditor. Tujuan dari prosedur audit ini adalah untuk mendapatkan
pemahaman atas pengendalian, mengevaluasi kecukupannya, dan mengamati
jalannya sebagai bukti bahwa pengendalian memang digunakan.

Para auditor harus secara periodik mengevaluasi kembali

pengendalian pemrosesan untuk memastikan kelangsungan
keandalannya. Apabila pengendalian pemrosesan tidak memuaskan, pengendalian
pemakai dan data sumber mungkin cukup kuat untuk mengimbangi kelemahan
tersebut. Apabila tidak, maka terdapat kelemahan yang material sehingga
tindakan harus diambil untuk menghilangkan kelemahan pengendalian tersebut.
Beberapa teknik khusus memungkinkan auditor untuk menggunakan komputer
dalam menguji pengendalian pemrosesan. Teknik-teknik tersebut mencakup
pemrosesan data uji, menggunakan teknik audit bersamaan, dan menganalisis
logika program. Setiap teknik tersebut memiliki kelebihan dan kelemahan masing-
masing, yang berarti bahwa mereka mungkin lebih tepat di suatu situasi tetapi
kurang tepat di situasi lainnya. Tidak ada satupun teknik yang cocok untuk semua
keadaan. Para auditor seharusnya tidak mengungkapkan teknik apa yang mereka
gunakan, karena hal ini dapat mengurangi efektivitas pengujian audit.

Tujuan 4.3- Audit Sistem Informasi: Audit Pengendalian

Pemrosesan Komputer, Memproses Data Uji.
Memproses Data Uji.
Salah satu cara untuk menguji program adalah dengan memproses serangkaian
perkiraan (hypothetical) transaksi valid dan tidak valid. Program tersebut harus
memproses seluruh transaksi yang valid dengan benar dan mengidentifikasi serta
menolak transaksi yang tidak valid. Seluruh jalur logika harus diperiksa apakah
berfungsi dengan baik atau tidak, melalui satu atau lebih uji transaksi.
Contoh-contoh data yang valid adalah catatan dengan data yang hilang, field yang
berisi jumlah yang tidak wajar banyaknya, nomor rekening atau
kode pemrosesan yang salah, data non-numeris dalam field
numerik, serta catatan yang tidak berurutan.

Sumber-sumber berikut ini dapat membantu untuk mempersiapkan data uji:

 Daftar transaksi yang sebenarnya
 Transaksi uji yang digunakan programer untuk menguji program tersebut
 Program pembuat data .uji (test data generator program), yang secara
otomatis mempersipakan data uji berdasarkan spesifikasi program
Di dalam sistem pemrosesan secara batch,
program perusahaan dan salinan dari file yang
terkait digunakan untuk memproses data uji.
Hasilnya akan dibandingkan dengan output
yang telah diperkirakan sebelumnya;
penyimpangan menunjukkan kesalahan
pemrosesan atau kurangnya pengendalian dan
harus diselidiki secara keseluruhan.
Di dalam sistem on-line, para auditor
memasukkan data uji dengan menggunakan
alat untuk memasukkan data, seperti PC atau
terminal, dan mengamati serta mendaftar respons sistem. Apabila sistem
menerima transaksi yang salah atau tidak valid, auditor
akan menelusuri kembali pengaruh transaksi tersebut,
menyelidiki masalahnya, dan memperbaiki
kelemahannya.
Tujuan 4.4- Audit Sistem Informasi:
Audit Pengendalian Pemrosesan
Komputer, Kelemahan Uji Transaksi.
Kelemahan Uji Transaksi.
Walaupun pemrosesan transaksi uji biasanya efektif, teknik
tersebut memiliki beberapa kelemahan:
1. Auditor harus menghabiskan banyak waktu untuk
mengembangkan pemahaman atas sistem yang diperiksanya dan
mempersiapkan serangkaian transaksi uji yang memadai.
2. Perhatian harus diberikan untuk memastikan bahwa data uji tidak
mempengaruhi file dan database perusahaan. Auditor dapat menelusuri kembali
(reserve) pengaruh transaksi uji atau memproses transaksi tersebut dalam
proses terpisah dertgan menggunakan salinan file atau database terkait. Akan
tetapi, pemrosesan terpisah akan menghilangkan beberapa keotentikan yang
didapat dari proses data uji, dengan transaksi rutin. Selain itu, prosedur
penelusuran kembali (reversal procedures) juga dapat mengungkapkan
keberadaan dan sifat dari uji yang dilaksanakan auditor pada personil utama,
sehingga menjadi kurang efektif dibanding uji yang tersembunyi.

Tujuan 4.5- Audit Sistem Informasi: Audit Pengendalian

Pemrosesan Komputer, Teknik Audit Bersamaan
Teknik Audit Bersamaan.

Jutaan dolar transaksi dapat diproses oleh sistem on-line

tanpa meninggalkan jejak audit yang memuaskan. Dalam
kasus semacam ini, bukti dikumpulkan setelah pemrosesan
data dianggap tidak cukup untuk tujuan audit. Sebagai
tambahan, oleh karena banyak sistem on-line memproses
transaksi seeara terus-menerus, merupakan hal yang sulit
atau tidak mungkin untuk menghentikan sistem tersebut dan
melaksanakan pengujian audit. Jadi, auditor menggunakan
teknik audit bersamaan untuk secara terus-menerus
mengawasi sistem dan mengumpulkan bukti audit
sementara data langsung diproses selama jam kerja normal.
Teknik audit bersamaan menggunakan modul audit melekat (embedded audit
module), yaitu bagian-bagian dari kode program yang melaksanakan fungi audit.
Mereka juga melaporkan hasil pengujian ke auditor dan menyimpan bukti yang
dikumpulkan untuk ditinjau oieh auditor. Teknik audit bersamaan sangat memakan
waktu dan sulit digunakan, tetapi tidak akan terlalu sulit dilaksanakan apabila
digabungkan ketika program sedang dikembangkan.
Terdapat 5(lima) Teknik Audit Bersamaan, yaitu:
 Integrated test facility (ITF)
 Snapshot
 System control audit review file (SCARF)
 Audit hooks
 Continuous and internittent simulation (CIS)

Tujuan 4.6- Audit Sistem Informasi: Audit Pengendalian

Pemrosesan Komputer, Integrated test facility (ITF)

Integrated test facility (ITF) adalah teknik yang menempatkan

serangkaian kecil catatan fiktif di file utama. Catatan tersebut
dapat saja mewakili bagian, departemen, atau kantor cabang,
pelanggan, atau pemasok fiktif..Pemrosesan transaksi uji yang
memperbarui catatan fiktif ini tidak akan mempengaruhi
catatan asli.
Oleh karena catatan fiktif dan yang sesungguhnya diproses bersama-
sama, para pegawai perusahaan biasanya tetap tidak menyadari bahwa
pengujian tersebut berjalan. Sistem tersebut harus membedakan catatan ITF dari
catatan yang sesungguhnya, mengumpulkan informasi atas dampak transaksi uji,
serta melaporkan hasilnya.
Auditor akan membandingkan pemrosesan dengan hasil yang diharapkan, untuk
memverifikasi bahwa sistem tersebut beserta pengendaliannya beroperasi dengan
benar.
Dalam pemrosesan seeara batch, teknik ITF meniadakan kebutuhan untuk
melakukan penelusuran transaksi uji dan dengan mudah disembunyikan dari para
pegawai yang mengoperasikan sistem tersebut.
ITF sangat sesuai untuk menguji sistem pemrosesan on¬line, karena transaksi uji
dapat dilakukan sesering mungkin, diproses bersama dengan transaksi yang
sesungguhnya, dan ditelusuri melalui seluruh tahap pemrosesan.
Semua ini dapat dicapai tanpa mengganggu operasional pemrosesan yang normal;
akan tetapi, perhatian harus diberikan untuk tidak menggabungkan catatan fiktif
dengan yang sesungguhnya selama proses pelaporan.

Tujuan 4.7- Audit Sistem Informasi: Audit Pengendalian

Pemrosesan Komputer, SNAPSHOT.
Teknik snapshot memeriksa cara transaksi diproses. Transaksi yang dipilih ditandai
dengan kode khusus yang akan memicu proses snapshot.
Modul-modul audit dalam program terkait mencatat transaksi-transaksi
ini beserta dengan catatan file utamanya, sebelum dan sesudah
pemrosesan.
Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor untuk
manverifikasi bahwa selurh langkah pemrosesan telah dengan benar dilaksanakan.

Tujuan 4.8- Audit Sistem Informasi: Audit Pengendalian

Pemrosesan Komputer, System control audit review file
(SCARF)
System control audit review file (SCARF) menggunakan modul audit melekat
untuk secara terus menerus mengawasi kegiatan transaksi dan mengumpulkan
data atas transaksi yang menjadi tujuan audit. Data tersebut dicatat dalam file
SCARF atau daftar audit (audit log).
 Transaksi-transaksi yang dicatat dalam file
daftar audit adalah yang melebihi batas nilai
uang yang telah ditentukan, atau
yang berisi penurunan nirai aset.
Secara periodik, auditor akan menerima cetakan
file SCARF, memeriksa informasi tersebut untuk
mengidentifikasi transaksi yang meragukan, dan
melaksanakan penyelidikan yang dibutuhkan.

Tujuan 4.9- Audit Sistem Informasi: Audit Pengendalian

Pemrosesan Komputer, Audit Hooks.

Audit hooks adalah kegiatan audit yang

memberikan tanda atas transaksi yang
mencurigakan. Contohnya, para auditor internal di
State Farm Life Insurance menyatakan bahwa sistem
pemegang asuransi mereka sangat rentan terhadap
penipuan setiap.kali seorang pemegang asuransi
mengganti nama atau alamatnya, dan kemudian
menarik dana dari asuransi tersebut. Pegawai asuransi membuat sebuah sistem
audit hooks untuk mengikuti catatan yang memiliki perubahan nama atau alamat.
Departemen audit internal perusahaan tersebut kini akan
diperingatkan apabila catatan yang diikuti tersebut
berhubungan dengan penarikan dan dapat menyelidiki
apakah transaksi tersebut merupakan penipuan. Ketika audit
hooks digunakan, auditor dapat diinformasikan mengenai
transaksi yang mencurigakan begitu transaksi tersebut
terjadi.
Pendekatan ini, disebut sebagai peringatan real-time (real-
time notification), yang menunjukkan sebuah pesan di
terminal auditor. Informasi tambahan mengenai penggunaan audit hooks di State
Farm, termasuk bagaimana sebuah penipuan besar dideteksi, dijelaskan dalam
Fokus DD-1.

Tujuan 4.10- Audit Sistem Informasi: Audit Pengendalian

Pemrosesan Komputer, Continuous and intermittent
simulation (CIS)

Continuous and intermittent simulation (CIS) melekatkan modul

audit dalam sistem manajemen database. Modul CIS memeriksa seluruh
transaksi yang memperbarui DBMS dengan menggunakan kriteria yang hampir
sarna dengan SCARF.
Apabila sebuah transaksi memiliki nilai untuk diaudit, modul tersebut akan
secara independen memproses data (dalam cara yang hampir sarna dengan
simulasi paralel), mencatat hasil-hasilnya, dan membandingkan hasilnya dengan
yang didapat dari DBMS.
Apabila terjadi penyimpangan, rincian penyimpangan tersebut akan ditulis
dalam daftar audit untuk penyelidikan selanjutnya. Apabila ditemukan
penyimpangan yang serius, CIS akan mencegah DBMS melaksanakan proses
pembaruan data.

Analisis Logika Program.

Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi
kode yang tidak sah atau kesalahan serius, maka analisis yang rinci atas logika
program mungkin diperlukan. Proses ini sangat memakan waktu dan
membutuhkan keahlian dalam hal bahasa pemrograman, sehingga
langkah ini harus digunakan sebagai pilihan terakhir.
Untuk melaksanakan analisis tersebut, auditor merujuk pada bagan
alir sistem dan program, dokumentasi program, dan daftar kode
sumber program. Software berikut dapat dipakai untuk membantu analisis ini:
 Automated flowcharting program, yang menerjemahkan kode sumber
program dan membuat bagan alir program berdasarkan kode tersebut.
 Automated decision table program, yang rnembuat sebuah tabel
keputusan yang mewakili logika program.
 Scanning routine, yang memeriksa suatu program atas terjadinya nama
variabel tertentu atau kombinasi karakter lainnya.
 Mapping program, yang mengidentifikasi kode program yang belum
berfungsi. Software ini mengungkapkan kode program yang dimasukkan oleh
programer yang tidak bertanggung jawab untuk menghapus seluruh file
komputer ketika dirinya diberhentikan, seperti yang dieontohkan pada.bagian
sebelumnya.
 Program tracing, yang secara berurutan meneetak seluruh langkah
program aplikasi (berdasar nomor baris atau nama paragraf) yang dijalankan
selama operasional program. Daftar ini bercampur dengan output yang normal
sehingga auditor dapat mengamati urutan yang tepat atas suatu kegiatan
yang tampak selama pengoperasian program. Penelusuran program membantu
auditor untuk mendeteksi perintah program tidak sah, alur logika yang salah,
dan kode program yang belum berfungsi.
Menggunakan Audit Hooks di State Farm
Life.
(Fokus DD-1) Menggunakan Audit Hooks di State
Farm Life.

Sistem komputer di State Farm Life Insurance Company memiliki sebuah

komputer induk di Bloomington, Illinois, dan 26 komputer yang lebih kecil di kantor
wilayahnya. Di berbagai kantor wilayahnya, lebih dari 1.500 terminal dan PC
dipakai untuk I memperbarui hampir 4 juta catatan pemegang asuransi di
komputer induk. Sistem tersebut memproses lebih ,dari 30 juta transaksi per
tahun. Sistem tersebut menelusuri dana pemegang asuransi yang bernilai lebih
dari $6,7 miliar.
Sistem on-line real-time ini memperbarui file dan database begitu transaksi
terjadi, jejak audit berupa kertas berkurang, .dan dokumen pendukung untuk
perubahan atas catatan pemegang asuransi telah ditiadakan atau hanya
dipertahankan sementara sebelum diproses.
Siapa pun yang memiliki akses dan pengetahuan aplikatif atas sistem
tersebut, dapat berpotensi melakukan penipuan. Pegawai internal audit memiliki
tantangan untuk mengidentifikasi transaksi asuransi jiwa yang memungkinkan
terjadinya penipuan: Untuk melakukan tugas ini, para auditor internal membahas
berbagai cara untuk menipu sistem tersebut dan mewawancarai berbagai pemakai
sistem yang dapat memberikan pandangan yang sangat berharga.
 Para auditor kini memiliki 33 audit hooks melekat yang mengawasi 92 jenis
transaksi. Salah satu audit hooks mengawasi transaksi tidak normal dalam
rekening transfer, yang akan melakukan kliring atas dana
yang sementara ditahan untuk dikreditkan ke beberapa
rekening.
Audit hooks tersebut berfungsi dengan sangat baik. Salah
seorang pegawai mendapatkan uang dengan memproses
sebuah pinjaman atas polis asuransi saudara laki-lakinya
secara tidak sah. Dia kemudian memalsukan tanda tangan
saudara laki-lakinya dan menguangkan cek tersebut. Untuk
menutupi penipuan tersebut, dia harus membayar kembali
pinjaman tersebut sebelum laporan status tahunan dikirim
ke saudara laki-lakinya. Untuk melakukan hal tersebut, dia menggunakan
serangkaian transaksi fiktif yang melibatkan sebuah rekening transfer. Penipuan
tersebut terungkap segera ketika audit hooks rekening transfer tersebut
mengenali transaksi fiktif pertama dan memperingatkan auditor. Dalam waktu
sebulan setelah peringatan tersebut, kasus tersebut diselidiki dan pegawai
tersebut diberhentikan. (Sumber: Linda Marie Leinicke, W. Max Rexroad, dan JO’hn
D. Ward, “Computer Fraud Auditing: It Works,” Internal Auditor (Agustus 1990),
Tujuan 5.1 – Audit Sistem Informasi: Audit Pengendalian
Data Sumber.

Tujuan 5.2 – Audit Sistem Informasi: Audit Pengendalian

Data Sumber.
Tabel DD-5 memperlihatkan pengendalian internal yang mencegah, mendeteksi,
dan memperbaiki data sumber yang salah atau tidak akurat. Tabel tersebut juga
memperlihatkan tinjauan sistem dan prosedur uji pengendalian yang dapat
digunakan auditor untuk melakukan evaluasi. Dalam sistem on-line, entri dan
fungsi pemrosesan data sumber merupakan satu kesatuan operasi. Oleh sebab itu,
pengendalian data sumber seperti otorisasi yang memadai dan edit input data,
diintegrasikan dengan pengendalian pemrosesan.
Para auditor menggunakan matriks pengendalian input, seperti yang ditunjukkan
dalam Gambar DD~3, untuk mendokumentasikan tinjauan atas pengendalian data
sumber. Matriks tersebut memperlihatkan prosedur pengendalian yang diterapkan
ke setiap field dalam catatan input.
 Para auditor harus
memastikan
bahwa fungsi
pengendalian
data independen
dari fungsi
lainnya,
memelihara
daftar
pengendalian
data, menangani
kesalahan dan
memastikan
efisiensi umum
operasinya.
Biasanya tidak
layak secara
ekonomi bagi
perusahaan kecil
dan instalasi PC
untuk memiliki
fungsi
pengendalian
data yang
independen.
Untuk
mengimbanginya,
pengendalian
departemen
pemakai harus
lebih kuat dalam
hal persiapan
data,
pengendalian
jumlah total batch, program edit, pembatasan atas akses secara fisik dan logika ke
sistem, dan prosedur penanganan.kesalahan. Prosedur-prosedur ini harus menjadi
fokus tinjauan sistem dan uji pengendalian auditor, ketika tidak didapati adanya
fungsi pengendalian data yang independen.
Walaupun pengendalian data sumber bisa saja tidak sering berubah,
batasan penerannya berubah-ubah. Oleh sebab itu, auditor harus mengujinya
secara teratur. Auditor harus menguji sistem dengan cara mengevaluasi beberapa
sampel data sumber untuk melihat ada tidaknya otorisasi yang memadai. Sebuah
sampel pengendalian batch harus direkonsiliasi. Sebuah sampel kesalahan edit
data harus dievaluasi untuk memeriksa bahwa kesalahan tersebut
telah diselesaikan dan diserahkan dikembalikan ke dalam sistem.
Apabila data sumber tidak memadai, pengendalian departemen
pemakai dan pemrosesan komputer dapat menjadi pengimbang.
Apabila tidak, maka auditor harus sangat merekomendasikan
•langkah-langkah untuk memperbaiki kelemahan pengendalian
data sumber.
Tujuan-6.1 – Audit Sistem Informasi: Audit Pengendalian File
Data.

Tujuan-6.2 – Audit Sistem Informasi: Audit Pengendalian File

Data.

Tujuan keenam meliputi akurasi, integritas, dan keamanan data yang disimpan
dalam file yang dapat dibaca oleh mesin. Risiko penyimpanan data mencakup
 modifikasi tidak sah, penghancuran, atau pengungkapan data. Apabila
pengendalian file sangat lemah, terutama dalam kaitannya dengan
akses fisik atau logika atau dengan prosedur salinan cadangan dan
pemulihan file, maka auditor harus sangat merekomendasikan
perbaikan atas kelemahan-kelemahan tersebut.

Tabel DD-6 meringkas kesalahan, pengendalian, dan prosedur audit untuk tujuan
ini.
Pendekatan audit berdasarkan tujuan (auditing-by-objective approach) merupakan
alat yang komprehensif, sistematis, dan efektif untuk mengevaluasi pengendalian
internal di dalam sebuah SIA. Hal ini dapat diimplementasikan dengan
menggunakan daftar prosedur audit untuk setiap tujuan. Daftar tersebut harus
membantu auditor untuk membuat kesimpulan terpisah bagi setiap tujuan, dan
menyarankan pengendalian pengimbangnya ketika sebuah tujuan tidak dapat
dicapai secara penuh. Versi terpisah dari daftar tersebut harus dilengkapi untuk
setiap aplikasi yang signifikan.
Para auditor harus meninjau desain sistem ketika masih terdapat waktu untuk
mengimplementasikan saran-saran mereka atas pengendalian dan fitur audit.
Teknik¬teknik seperti ITF, snapshot, SCARF, audit hooks dan peringatan secara
real-time harus digabungkan ke dalam sebuah sistem selama masa proses desain,
bukan sesudahnya. Dengan pemikiran yang hampir sarna, kebanyakan teknik
pengendalian aplikasi lebih mudah untuk didesain masuk ke dalam sistem
daripada ditambahkan ketnudian setelah sistem tersebut dikembangkan.

Software Komputer untuk Audit Sistem Informasi berbasis

Komputer.
Beberapa program komputer, yang disebut computer audit software
(CAS) atau generalized audit software (GAS) telah dibuat secara
khusus untuk auditor. Program tersebut tersedia di pemasok
software dan kantor akuntan publik besar.
Pada dasarnya, CAS adalah program komputer yang, berdasarkan spesifikasi dari
auditor, menghasilkan program yang melaksanakan fungsi-fungsi audit. CAS
idealnya sesuai untuk pemeriksaan file data yang besar, untuk
mengidentifikasi catatan-catatan yang membutuhkan
pemeriksaaan audit lebih lanjut.
Contohnya, Fokus DD-2 menggambarkan bagaimana pemerintah Amerika Serikat
menggunakan CAS untuk memerangi-defisit anggaran negara. Tabel DD-7 berisi
sebuah daftar fungsi-fungsi CAS dengan satu atau lebih contoh audit untuk setiap
fungsi tersebut.

Penggunaan CAS dalam Audit Sistem Informasi.

 Gambar DD-4
memperlihatkan bagaimana
CAS digunakan. Langkah
pertama auditor adalah
memutuskan tujuan-tujuan
audit, mempelajari file serta
database yang akan diaudit,
mendesain laporan audit, dan
menetapkan bagaimana cara
menghasilkannya.
Informasi ini akan dicatat
dalam lembar spesifikasi
dan dimasukkan ke dalam
sistem melalui program
input data.

Program ini membuat catatan spesifikasi yang digunakan CAS untuk

menghasilkan satu atau lebih program audit. Program audit
memproses file¬file sumber dan melaksanakan operasional audit
yang dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan.
Sering kali, aplikasi awal CAS pada komputer dilaksanakan untuk mengekstraksi
informasi utama audit dan menempatkannya di dalam file kerja audit. Laporan dan
analisis audit tambahan dihasilkan oleh serangkaian urutan operasi komputer yang
menggunakan file kerja audit sebagai inputnya.

Ilustrasi Nilai Software Audit dalam Audit Sistem Informasi.

Kasus berikut ini mengilustrasikan nilai software audit. Di dalam sebuah kota kecil
di New England, seorang penagih pajak baru saja dipilih dengan mengalahkan
orang yang sebelumnya memegang jabatan yang sarna. Penagih pajak yang baru
tersebut meminta diadakannya audit atas catatan penagihan pajak kota tersebut.
 Dengan menggunakan CAS, auditor yang ditunjuk
mengakses catatan penagihan pajak untuk 4 tahun
terakhir, . menyortirnya berdasarkan tanggal penagihan,
menambahkan jumlah total pajak yang dikumpulkan
bulanan, serta mempersiapkan laporan ringkasan 4 tahun atas
penagihan pajak bulanan tersebut.
Analisis auditor mengungkapkan bahwa penagihan pajak selama bulan Januari
hingga Juli, dua bulan tersibuk dalam setahun, telah menurun sebanyak 58 persen
dan 72 persen, secara spesifik. Auditor menggunakan CAS untuk membandingkan
catatan-catatan penagihan pajak satu per satu, dengan catatan-catatan properti
kota.
Laporan selanjutnya mengidentifikasi beberapa penyimpangan, termasuk
suatu kasus yang menyebutkan penagih pajak sebelumnya menggunakan
pembayaran dari pembayar pajak lainnya untuk menutupi tunggakan tagihan
pajak dirinya sendiri. Penagih pajak yang sebelumnya ditahan dan dituntut dengan
tuduhan penggelapan.
Tujuan utama dari CAS adalah untuk membantu auditor dalam melakukan
tinjauan serta menarik informasi dari berbagai file komputer. Ketika auditor
menerima laporan dari CAS, sebagian besar kegiatan audit akan tetap harus
dilaksanakan. Hal-hal yang termasuk dalam laporan pengecualian harus diselidiki,
jumlah total file harus diverifikasi dengan sumber informasi lainnya, seperti buku
besar, dan sampel-sampel audit harus diselidiki serta dievaluasi.
Walaupun kelebihan menggunakan CAS sangat banyak dan dapat dipereaya,
CAS tidak dapat menggantikan penilaian auditor atau membebaskan auditor dari
tahap-tahap audit lainnya.

Memerangi Defisit Anggaran Negara dengan Software Audit.

Fokus DD-2: Memerangi Defisit Anggaran Negara dengan Software Audit.
Pemerintah Amerika Serikat menemukan bahwa software audit komputer
adalah alat yang berharga dalam usaha mereka untuk mengurangi defisit
anggaran pemerintah dalam jumlah besar. Contohnya, software yang
digunakan untuk mengidentifikasi penipuan klaim asuransi Medicare dan
menunjukkan dengan tepat tagihan-tagihan berlebih yang dilakukan
oleh para kontraktor Departemen Pertahanan.
Suatu audit komputer yang dilaksanakan oleh General Accounting
Office (GAO) memeriksa silang berbagai angka dengan IRS dan
menemukan bahwa ribuan veteran perang berbohong mengenai
penghasilan mereka agar dapat memenuhi kualifikasi untuk
kompensasi pensiun.
Audit tersebut mengungkapkan bahwa 116.000 veteran yang menerima pensiun
berdasarkan kebutuhan mereka, tidak mengungkapkan $338 juta penghasilan dari
tabungan, dividen saham, atau sewa. Lebih dari 13.600 veteran mengurangi
penghasilan mereka di laporan, bahkan salah seorang dari mereka tidak
melaporkan . penghasilannya sejumlah lebih dari $300.000.
Sebelum pemeriksaan dengan komputer diadakan, Veteran Administration (VA)
bergantung pada para veteran untuk memberikan laporan penghasilan yang
akurat. Begitu V A memperingatkan para penerima kompensasi bahwa
penghasilan mereka akan diverifikasi oleh IRS dan Social Security Administration,
kompensasi pensiun turun sebanyak lebih dari 13.000 orang, dengan
penghematan sebesar $9 juta per bulan, berdasarkan laporan GAO.
VA berencana menggunakan sistem yang sarna untuk memeriksa tingkat
penghasilan mereka yang mengajukan aplikasi untuk asuransi kesehatan. Apabila
penghasilan mereka ditemukan di atas suatu level tertentu, pasien-pasien tersebut
akan diminta untuk melakukan pembayaran bersama (co-payment).

Fungsi-fungsi Umum Software Audit Komputer.

Audit Operasional atas suatu SI.

Berbagai teknik dan prosedur yang digunakan dalam audit
operasional hampir sarna dengan yang diterapkan dalam
audit sistem informasi dan keuangan.
Perbedaan utamanya adalah bahwa lingkup audit sistem
informasi dibatasi pada pengendalian internal, sementara
lingkup audit keuangan dibatasi pada output sistem.
Sebaliknya, lingkup audit operasional lebih luas, melintasi
seluruh aspek manajemen sistem informasi.
Sebagai tambahan, tujuan audit operasional mencakup
faktor-faktor seperti efektivitas, efisiensi, dan pencapaian
tujuian. .
Langkah pertama dalam audit operasional adalah
perencanaan audit, yaitu masa pembuatan lingkup dan tujuan audit, tinjauan awal
atas sistem dilakukan, dan program audit sementara dipersiapkan.

Pengumpulan Bukti Audit pada Audit Operasional atas

Sistem Informasi.
Pengumpulan bukti mencakup kegiatan-kegiatan berikut ini:
 Meninjau kebijakan dokumentasi operasional
 Melakukan konfirmasi atas prosedur dengan pihak
manajemen serta personil operasional
 Mengamati fungsi-fungsi dan kegiatan operasional
 Memeriksa rencana dan laporan keuangan serta operasional
 Menguji akurasi imormasi operasional
 Menguji pengendalian
Pada tahap pengumpulan bukti, auditor mengukur sistem yang sesungguhnya
dengan sistem yang ideal, yaitu sistem yang mengikuti
prinsip-prinsip terbaik dari manajemen sistem. Salah satu
pertimbangan yang penting adalah hasil-hasil dari kebijakan
serta praktik manajemen lebih signifikan dari kebijakan dan
praktik mereka sendiri.
Jadi, .apabila hasil yang baik dicapai melalui kebijakan dan
praktik yang secara teori lemah, maka auditor harus secara
hati-hati mempertimbangkan apakah perbaikan yang
direkomendasikan akan secara substansial memperbaiki hasil. Dalam banyak
kejadian, auditor harus secara menyeluruh mendokumentasikan penemuan-
penemuan dan kesimpulan-kesimpulan tersebut, serta mengkomunikasikan hasil
audit ke pihak manajemen.

Keahlian yang dibutuhkan untuk menjadi Auditor

Operasional.
Menjadi auditor operasional yang baik membutuhkan suatu pengalaman dalam
bidang manajemen. Mereka yang memiliki latar belakang audit yang kuat tetapi
lemah dari sisi pengalaman dalam bidang manajemen, sering kali kurang memiliki
perspektif yang dibutuhkan untuk memahami proses manajemen.
Jadi, auditor operasional yang baik adalah orang
yang memiliki pelatihan dan pengalaman audit
serta beberapa tahun pengalaman di posisi
manajerial.