Contoh Prosedur & Lembar Kerja IT Audit + Studi kasus

IT Audit
Audit menurut Arens, et al. (2003) yang diterjemahkan oleh kanto Santoso Setiawan dan Tumbur
Pasaribu adalah proses pengumpulan dan pengevaluasian bukti-bukti tentang informasi ekonomi untuk
menentukan tingkat kesesuaian informasi tersebut dengan criteria-kriteria yang telah ditetapkan, dan
melaporkan hasil pemeriksaan tersebut. IT Audit adalah suatu proses kontrol pengujian terhadap
infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit
internal.IT audit lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya
digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. IT Audit merupakan
gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi,
Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. IT Audit bertujuan untuk
meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan
kebutuhan (integrity) dari sistem informasi organisasi.

Tahapan/Prosedur IT Audit
Tahapan Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar
obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa
agar pelaksanaannya akan berjalan efektif dan efisien.
Mengidentifikasikan resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah
dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
Mengevaluasi kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei,
interview, observasi, dan review dokumentasi.
Mendokumentasikan dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
Menyusun laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang
dilakukan.

contoh prosedur IT Audit

Kontrol lingkungan:
1.Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2.Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dari external
auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan financial
4. Memeriksa persetujuan lisen (license agreement)

Kontrol keamanan fisik

1.Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2.Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
3.Periksa apakah rencana kelanjutan bisnis memadai dan efektif
4.Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai

Kontrol keamanan logical

1.Periksa apakah password memadai dan perubahannya dilakukan regular
2.Apakah administrator keamanan memprint akses kontrol setiap user

Lembar Kerja IT AUDIT

•Stakeholders: Internal IT Deparment, External IT Consultant, Board of Commision, Management,
Internal IT Auditor, External IT Auditor
•Kualifikasi Auditor: Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA),
Certified Information Systems Security Professional (CISSP), dll.
•Output Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam, Fokus kepada global,
menuju ke standard-standard yang diakui.
•Output External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya, Outsourcing yang tepat,
Benchmark / Best-Practices.
•Output Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi sumber daya,
Reporting.

Contoh Lembar Kerja IT Audit:

Gambar berikut ini merupakan contoh lembar kerja pemeriksaan IT Audit. Gambar A untuk contoh
yang masih ‘arround the computer‘, sedangkan B contoh ‘through the computer‘.
Contoh Metodologi IT Audit:
BSI (Bundesamt for Sicherheit in der Informationstechnik):
● IT Baseline Protection Manual (IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan

● Mudah digunakan dan sangat detail sekali

Analisa Kasus:
Dari rangkuman berita diatas, dapat ditarik beberapa kesimpulan, antara lain:
Pembobolan dana rekening tersebut kemungkinan besar dilakukan oleh orang dalam perusahaan atau
orang dalam perbankan dan dilakukan lebih dari satu orang.
Karena tidak semua pemilik rekening memiliki hubungan dengan perusahaan tersebut, ada
kemungkinan pembocoran informasi itu tidak dilakukan oleh satu perusahaan saja, mengingat jumlah
dana yang dibobol sangat besar.
Modusnya mungkin penipuan berkedok program yang menawarkan keanggotaan. Korban, yang tergoda
mendaftar menjadi anggota, secara tidak sadar mungkin telah mencantumkan informasi-informasi yang
seharusnya bersifat rahasia.
Pelaku kemungkinan memanfaatkan kelemahan sistem keamanan kartu ATM yang hanya dilindungi
oleh PIN.
Pelaku juga kemungkinan besar menguasai pengetahuan tentang sistem jaringan perbankan. Hal ini
ditunjukkan dengan penggunaan teknik yang masih belum diketahui dan hampir bisa dapat dipastikan
belum pernah digunakan sebelumnya.
Dari rangkuman berita diatas, disebutkan bahwa para pemilik yang uangnya hilang telah melakukan
keluhan sebelumnya terhadap pihak bank. Hal ini dapat diartikan bahwa lamanya bank dalam merespon
keluhan-keluhan tersebut juga dapat menjadi salah satu sebab mengapa kasus ini menjadi begitu besar.
Dari segi sistem keamanan kartu ATM itu sendiri, terdapat 2 kelemahan, yaitu:
1. Kelemahan pada mekanisme pengamanan fisik kartu ATM.
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet.
Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu jenis ini sangat mudah terbaca
pada perangkat pembaca pita magnet (skimmer).
2. Kelemahan pada mekanisme pengamanan data di dalam sistem.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan
penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang
membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari
brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan
tidak berfungsi jika pelaku telah mengetahui PIN korbannya.

Kesimpulan
Melakukan perbaikan atau perubahan sistem keamanan untuk kartu ATM. Dengan penggunaan kartu
ATM berbasis chip misalnya, yang dirasa lebih aman dari skimming. Atau dengan penggunaan sistem
keamanan lainnya yang tidak bersifat PIN, seperti pengamanan dengan sidik jari, scan retina, atau
dengan penerapan tanda tangan digital misalnya.
Karena pembobolan ini sebagiannya juga disebabkan oleh kelengahan pemilik rekening, ada baiknya
jika setiap bank yang mengeluarkan kartu ATM memberikan edukasi kepada para nasabahnya tentang
tata cara penggunaan kartu ATM dan bagaimana cara untuk menjaga keamanannya.

IT AUDIT
November 27, 2015 //
0

Pengantar
Audit sebuah system teknologi informasi untuk saat ini adalah sebuah keharusan. Audit perlu
dilakukan agar sebuat system mampu memenuhi syarat IT Governance. Audit system informasi adalah
cara untuk melakukan pengujian terhadap system informasi yang ada di dalam organisasi untuk
mengetahui apakah system informasi yang dimiliki telah sesuai dengan visi, misi dan tujuan organisasi,
menguji performa system informasi dan untuk mendeteksi resiko-resiko dan efek potensial yang
mungkin timbul.
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai
teknik termasuk survey, wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti
elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan
CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya
saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-
lain.

Ada beberapa teknik audit untuk melakukan audit pada Teknologi Informasi. Auditor dapat
menggunakan tiga kategori berikut dalam menguji pengendalian, yaitu:

1. Teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT) yang terdiri
atas Auditing Around the Computer, dimana dengan teknik ini auditor menguji reliability dari
computer generated information dengan terlebih dahulu menghitung hasil yang diinginkan dari
transaksi yang dimasukkan dalam system, dan kemudian membandingkan hasil perhitungan
dengan hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan bahwa system
pengendalian berfungsi seperti yang seharusnya. Kondisi ini cocok jika system aplikasi otomasi
sederhana dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan
software akuntansi yang bervariasi dan melakukan proses secara periodic.
2. Auditing With the Computer adalah auditing dengan pendekatan computer, menggunakan
teknik yang bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT).
Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan efektifitas auditor,
dalam melakukan susbstantif test. Salah satu CAAT yang lazim dipakai adalah general audit
software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of
control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi algoritma
yang komplek dalam program computer. Tetapi ini memerlukan pengalaman yang luas dalam
penggunaan software ini.
3. Audit Through the Computer yang merupakan teknik focus pada testing tahapan pemrosesan
computerised, logic program, edit routines dan program controls. Pendekatan ini
mengasumsikan bahwa jika program pemrosesan dikembangkan dengan baik, dan memenuhi
 edit routines dan programme check yang memadai, maka error dan kecurangan tidak akan
mudah terjadi tanpa terdeteksi.
STANDAR IT AUDIT
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh
ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance
dan IS Auditing Procedure. Sekarang keahlian dalam mengaudit IT juga memerlukan sertifikasi sendiri,
yaitu CISA (Certified Information System Audit). Standar adalah sesuatu yang harus dipenuhi oleh IS
Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam
berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor
dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa
menggunakan judgement profesional ketika menggunakan guidance dan procedure. Standar yang
aplicable untuk audit IT adalah terdiri dari 11 standar yaitu, Audit charter, Audit Independent,
Profesional Ethic and standard, S4.Profesional competence, Planning, Performance of Audit Work,
Reporting, Follow-Up Activity, Irregularities and Irregular Act, IT Governance dan Use of Risk
Assestment in Audit Planning.

IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk
mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-
langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan
bagaimana melakukan risk assestment, mengetes intruction detection system, menganalisis firewall dan
sebagainya. Jika dibandingkan dengan audit keuangan, maka standar dari ISACA ini adalah setara
dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit
dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar
tersendiri yaitu COBIT.

Langkah dasar Audit SI

Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan
semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang
dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit
planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya
persetujuan managemen tinggi, dan metode audit. Metodologi audit:
1. Audit subject. Menentukan apa yang akan diaudit.
2. Audit objective. Menentukan tujuan dari audit.
3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit.
4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan
dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5. Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk
memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi
kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.
Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
o Tujuan, ruang lingkup, lamanya audit, prosedur audit.
o Kesimpulan umum dari auditor.
o Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau
tidak
o Tanggapan dari manajemen (bila perlu).
o Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk
membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan
tim manajemen bahwa hasil audit sahih

Tahap-tahap Audit Sistem Informasi

Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri
dari 5 tahap sebagai berikut :

1. Tahap pemeriksaan pendahuluan

2. Tahap pemeriksaan rinci.
3. Tahap pengujian kesesuaian.
4. Tahap pengujian kebenaran bukti.
 5. Tahap penilaian secara umum atas hasil pengujian.

1. Tahap Pemeriksaan Pendahuluan.

Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami
bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko
audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap
ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian
terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor dapat memutuskan
apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit.

2. Tahap Pemeriksaan Rinci.

Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami
pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa
hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur
pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian
tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.
3. Tahap Pengujian Kesesuaian.
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang
digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs.
Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas
data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan
keandalan data itu sendiri.

4. Tahap Pengujian Kebenaran Bukti.

Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,.
Pada tahap ini, pengujian yang dilakukan adalah :

1. Mengidentifikasi kesalahan dalam pemrosesan data

2. Menilai kualitas data
3. Mengidentifikasi ketidakkonsistenan data
4. Membandingkan data dengan perhitungan fisik
5. Konfirmasi data dengan sumber-sumber dari luar perusahaan.

5. Tahap Penilaian Secara Umum atas Hasil Pengujian.

Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat
atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor
untuk menyiapkan pendapatanya dalam laporan auditan.
Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang
diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup :

1. Pengendalian umum
2. Pengendalian aplikasi, yang terdiri dari :
 Pengendalian secara manual,
 Pengendalian terhadap output sistem informasi,
 Pengendalian yang sudah diprogram.
Pengendalian
A. Pemahaman Pengendalian UmumPengendalian umum pada perusahaan biasanya dilakukan
terhadap aspek fisikal maupun logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan
aspek logikal biasanya terhadap sistem informasi di level manajemen (misal: sistem operasi).
Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya adalah:
1. Pengendalian organisasi dan otorisasi.Yang dimaksud dengan organisasi disini adalah secara
umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan
administrator sistem (operasi). Disini juga dapat dilihat bahwa pengguna hanya dapat
mengakses sistem apabila memang telah diotorisasi oleh administrator.
2. Pengendalian operasi.Operasi sistem informasi dalam perusahaan juga perlu pengendalian
untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai
yang diharapkan.
3. Pengendalian perubahan.Perubahan-perubahan yang dilakukan terhadap sistem informasi
juga harus dikendalikan. Termasuk pengendalian versi dari sistem informasi tersebut, catatan
perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem
informasi.

1. Pengendalian akses fisikal dan logikal.

Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem
informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap
sistem operasi sistem tersebut (misal: windows).

B. Pengendalian Aplikasi.
Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian yang didesain oleh
manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar
proses bisnisnya dapat berjalan dengan baik.
C. Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif. Artinya apabila
pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan
bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik.
Macam Aplikasi
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam
perusahaan untuk kepentingan audit PDE:

1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang belum
menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada
masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada fungsi akuntansi dan
keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah menerapkan
SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai
sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses
aplikasi pada server.

Macam Pengendalian Aplikasi

Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi beberapa pengendalian:

1. Pemahaman atas pengendalian informasi dan akses aplikasi

Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian aplikasi: organisasi dan
akses. Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih
terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator,
pengguna, hingga pengembangan aplikasi tersebut.

Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika saja untuk menghindari
akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian
akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk
oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan
dengan nama pengguna dan sandi nya.
2. Input
Inti dari pengendalian input adalah memastikan data-data yang dimasukkan ke dalam sistem telah
tervalidasi, akurat, dan terverifikasi. Beberapa pengendalian input otomatis yang biasa diprogram:

Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
 4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya

Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang

terhubungkan, contoh: penerimaan barang dengan tagihan

3. Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses
terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan
database, proses yang dilakukan pada berkas-berkas master.

Adapun tipe pengendalian proses adalah sebagai berikut:

1. Run to run control

2. Pivot totals
3. Control/Hash totals: non numerical control
4. Control accounts
5. Data file control: menghitung instan entitas
6. Transaction validation control
7. File reconciliation control
4. Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat
mata) jika output yang dihasilkan juga kasat mata.

Beberapa tipe pengendalian output:

1. Ekspektansi output (logs)

2. Kelengkapan output (misal dengan no halaman)
3. Pengendalian atas spooled output
4. Reasonableness
5. Output rutin
6. Distribusi output
7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable
8. SQL output
 5. Master File/Database
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan
anomali-anomali, seperti:

 Anomaly penambahan
 Anomaly penghapusan
 Anomaly pemuktahiran/pembaruan
PENGENALAN KERTAS KERJA
Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang diterapkan, pelaksanaan
pengujian dan bukti yang diperoleh serta kesimpulan yang diperoleh selama audit. Kertas kerja
merupakan pendukung utama laporan audit, alat koordinasi dan supervisi, bukti bahwa auditor telah
melakukan audit sesuai dengan standar auditing yang Berterima umum.

Tujuan Kertas Kerja:

 Untuk mendokumentasikan semua bukti audit yang diperoleh selama pelaksanaan audit.
 Untuk mengorganisasikan/mengkoordinasikan semua tahap atau langkah-langkah audit.
 Untuk membantu auditor senior, partner atau pimpinan kantor akuntan dalam mereview
pekerjaan yang dihasilkan oleh stafnya.
 Untuk mempermudah atau sebagai dasar penyusunan laporan audit
 Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta temuan-temuan yang telah
dilaporkan dalam laporan audit.

Pedoman Pembuatan Kertas Kerja

 Setiap kertas kerja harus bertujuan
 Setiap topik dibuatkan kertas kerja sendiri
 Indentitas (judul) yang jelas
 Diberi indeks atau indeks silang
 Semua langkah (prosedur audit) harus dijelaskan
 Berisi komentar auditor yang mencerminkan kesimpulan
 Ada paraf dan tanggal pembuatan/evaluasi
 Penyimpanan terpisah antara yang sudah selesai dengan yang belum selesai

Jenis Kertas Kerja

 Kertas kerja neraca saldo
 Jadwal dan analisis
 Memo audit dan informasi pendukung
 Jurnal penyesuaian dan pengklasifikasian kembali
Fungsi Kertas Kerja
 Pendukung pendapat auditor.
 Membantu dalam pengarahan dan pengawasan pekerjaan.
 Penyediaan catatan tentang:
1. Prosedur audit yang dilakukan.
2. Pengujian yang dilakukan
3. Informasi yang diperoleh.
4. Kesimpulan yang dicapai.
 Menyediakan bukti bahwa audit telah diarahkan menurut Standar Profesional
Audit Internal

Kelengkapan Kertas Kerja

 Kertas kerja harus akurat dan lengkap
1. Tidak ada pertanyaan signifikan dalam lingkup atau yang berhubungan dengan tujuan
audit yang tidak dapat terjawab.
2. Kertas kerja harus berdiri sendiri, dalam hal ini harus dinyatakan secara jelas bahwa
pekerjaan telah dilaksanakan, bagaimana dan dari mana sampel dipilih, tujuan kertas
kerja, temuan apa saja yang telah dibuat, dan lain-lain.

Kerangka Kerja Audit Sistem Informasi

Audit sistem informasi dapat diuraikan dalam beberapa tahapan berdasarkan kerangka pikir
manajemen, teknologi informasi dan pertimbangan sistem ahli yang semuanya mengacu pada kerangka
kerja menghasilkan laporan audit sistem informasi.

Perencanaan Kertas Kerja

1. Standar Kertas Kerja
Kertas kerja merupakan pertimbangan yang memuaskan sebagai sarana untuk mempersiapkan diri pada
sistem informasi yang diaudit dengan sebaik-baiknya. Sampai sejauh ini, belum ada ketetapan mengenai
standar kertas kerja yang diatur baik dalam audit keuangan atau audit lainnya. Yang ada hanyalah
pertimbangan professional. Suatu kertas kerja yang baik setidak-tidaknya memiliki beberapa standar,
antara lain:

1. Lengkap, berisi informasi,

2. Akurat, berisi ketepatan dalam penyajian perhitungan,
3. Terjamin kerahasiaannya.
4. Kepentingan Kertas Kerja
Berdasarkan analisis atas kebutuhan untuk menjalankan fungsi pemeriksaan sistem informasi,
kedudukan kertas kerja sebagai salah satu sarana untuk mempermudah identifikasi dalam proses audit
memiliki tujuan utama, yakni: membantu tugas-tugas auditor dalam fase penyelesaian yang
memberikan keyakinan yang memadai bahwa setiap unsur yang diaudit telah layak sesuai dengan
standar yang dikehendaki.

3. Prosedur Audit Berbasis Kertas Kerja

Penting untuk dipahami bahwa penggunaan kertas kerja, didasarkan atas teknik pendekatan proses yang
digunakan dalam penugasan audit Program kerja audit sistem informasi berdasarkan obyek
pemeriksaan, dapat diuraikan sebagai berikut:

1. Pemeriksaan Atas Pengendalian Umum, meliputi:

2. Pemeriksaan pada akses fisik fasilitas computer perusahaan,
3. Pemeriksaan pada input program aplikasi akuntansi computer.
4. Pemeriksaan atas sumber data program aplikasi.
5. Pemeriksaan Atas Pengendalian Aplikasi, meliputi:
6. Pemeriksaan atas prosedur menjalankan program aplikasi.
7. Pemeriksaan atas proses transaksi.
8. Pemeriksaan atas file data.
9. Format Kertas Kerja Berkaitan dengan Pengembangan Sistem Informasi
Kertas kerja yang diuraikan disini merupakan suatu usulan yang memberikan gambaran umum atas
uraian penugasan audit yang dilakukan.

Secara umum ada, tiga jenis kertas kerja sistem informasi yang dapat diterapkan untuk mendukung
audit perusahaan berbasis pengolahan data elektronik, yaitu:

1. Kertas kerja analisis sistem informasi: mencatat identifikasi permasalahan dan penjabaran blok
sistem informasi serta titik focus yang perlu mendapat perhatian khusus,
2. Kertas kerja program pemeriksaan: mencatat kegiatan dalam objek pemeriksaan, baik
pengendalian umum administrative maupun pengendalian aplikasi;
3. Kertas Kerja Evaluasi: mencatat hasil yang diperoleh berdasarkan temuan-temuan atau fakta
mengenai kegiatan sistem informasi klien.

Prinsip Laporan Audit

Hasil Laporan audit merupakan media yang dipakai oleh auditor dalam berkomunikasi dengan klien.
Laporan audit berupa komunikasi dan ekspresi auditor terhadap objek yang diaudit agar laporan atau
ekspresi auditor tadi dapat dimengerti maka laporan itu harus mampu dipahami oleh penggunanya.
Laporan audit seharusnya merupakan alat komunikasi yang efektif dan mempunyai dampak psikologis
(positif maupun negatif) bagi auditor maupun auditee, terutama individu yang terlibat. Jika suatu
rekomendasi tidak ditindaklanjuti oleh auditee atau pihak lain yang terkait, maka hal tersebut berarti
komunikasi tertulis yang dilakukan oleh auditor tidak efektif

Laporan audit TI ini terdiri dari:

1. Maksud dan tujuan dari review pengendalian terhadap penerapan TI di klien.
2. Ruang lingkup dan referensi pengendalian yang digunakan sebagai bahan acuan penilaian
pengendalian TI yang diterapkan dalam klien.
3. Metodologi review merupakan langkah-langkah audit dan teknik pemerolehan informasi untuk
mendukung laporan review.

4. Pernyataan penjelasan hasil review:

5. Permasalahan, menjelaskan pokok masalah yang saat ini dihadapi oleh klien.
6. Temuan, menjelaskan bukti audit untuk mendukung kesimpulan masalah.
7. Kriteria/standar, menjelaskan pengendalian yang seharusnya diterapkan oleh klien.
8. Kondisi, menjelaskan sebab dan akibat serta aktifitas/kegiatan terkini.
9. Risiko, menjelaskan potensi dan dampak negatif terhadap hilangnya atau tidak diterapkannya
pengendalian.
10. Tanggapan manajemen, menjelaskan komentar dan tanggapan manajemen terhadap
permasalahan dan temuan yang telah disampaikan.
11. Rekomendasi, menjelaskan saran-saran perbaikan dan implementasi penge pengendalian yang
harus diterapkan dalam kegiatan/aktifitas klien.

Pentingnya suatu temuan dan rekomendasi bagi pembaca sebagian besar tergantung dari lingkup
penerapannya serta konsekuensi-konsekuensi praktis darinya (baik yang telah atau mungkin akan
terjadi). Karena itu penting bagi auditor untuk mengetengahkan keuntungankeuntungan praktis dari
rekomendasinya dan merancang rekomendasi itu sedemikian rupa sehingga diperoleh manfaat sebesar
mungkin. Dalam kasus dimana terdapat ketidaktaatan terhadap ketentuan, auditor harus
merekomendasikan tindakan khusus guna memperbaiki situasi dan bukan hanya merekomendasikan
agar ketentuan yang bersangkutan ditaati. Dalam menyusun konsep rekomendasi auditor harus dengan
seksama mempertimbangkan biaya untuk melaksanakan rekomendasi dibandingkan dengan manfaat/
keuntungan yang dapat diperoleh. Sejauh mungkin laporan hasil audit harus menyertakan informasi
yang menunjukkan bahwa rekomendasi tersebut dapat dipertanggungjawabkan dari segi biaya. Sedapat
mungkin rekomendasi ditempatkan segera setelah temuan yang bertalian dengannya.

Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based approach dengan mengacu
pada:
1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65
2. COBIT
3. ISO
4. Best practices lainnya (ISACA Guidelines, CISA 2007, COSO, Sarbanes-Oxley
Act, SANS) Pelaksanaan audit dilakukan dengan
Cara yang dapat dilaksanakan adalah:

1. Penyampaian kuisioner
2. Kuisioner Pengendalian Sistem Informasi
3. Kuisioner I – Analisis Pengelolaan Teknologi Informasi, Management Awareness
4. Kuisioner II – Analisis Pengelolaan Teknologi Informasi, Information Technology Controls
Diagnostic
5. Wawancara
6. Observasi
7. Major application
8. Infrastruktur pendukung data center: air conditioning, smoke detector, fire extinguisher,
hydrant, dll.
9. Sistem Operasi
10. Database
11. Internet, LAN, WAN
12. Perangkat Keras dan Lunak
13. Kebijakan dan Standard Operation Procedure
14. Studi kebijakan, prosedur, dan dokumentasi
15. Pengujian dengan menggunakan perangkat lunak

Salah satu referensi Control Objective for Information and related Technology (COBIT):
1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)
Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat lunak (software), sumber
daya manusia, file/data dan fasilitas Teknologi Informasi lainnya harus dijaga dengan sistem
pengendalian internal yang baik agar tidak terjadi misefisiensi, mis-efektifitas, dan penyalahgunaan aset
entitas. Dengan demikian sistem pengamanan aset sistem informasi merupakan suatu hal yang sangat
penting yang harus dipenuhi oleh entitas.
2. Efektifitas system
Efektifitas sistem informasi entitas memiliki peranan penting dalam proses pengambilan keputusan
usaha/bisnis. Suatu sistem informasi dapat dikatakan efektifbila sistem informasi memberikan manfaat
dan ketepatgunaan teknologi informasi dalam operasi dan administrasi.

3. Efisiensi system
Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang dimiliki oleh entitas terbatas. Jika
cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen, dalam hal ini mewakili
entitas, harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya,
karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user
dengan sumber daya informasi yang minimal.

4. Memberikan dan mengelola ketersediaan layanan sistem informasi (Availability)

Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi. Teknologi Informasi
hendaknya dapat mendukung secara berkelanjutan terhadap proses usaha/bisnis entitas. Makin sering
terjadi gangguan (system downtime) maka berarti tingkat ketersediaan sistem rendah.
5. Menjaga kerahasiaan (Confidentiality)
Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan supaya terlindung dari akses dari
pihak-pihak yang tidak berwenang dan bertanggungjawab.

6. Meningkatkan kehandalan (Reability)

Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organ isasi,
pelaporan dan pertanggungjawaban.

7. Menjaga integritas data (Data Integrity) Integritas data adalah salah satu konsep dasar sistem
informasi. Data memiliki atributatribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika
integritas data tidak terpelihara, maka suatu entitas tidak akan lagi memiliki informasi/laporan
yang benar, bahkan entitas dapat menderita k kerugian karena pengawasan yang tidak tepat
atau keputusan-keputusan yang salah. Faktor utama yang membuat data berharga bagi entitas
dan pentingnya untuk menjaga integritas data adalah:
8. Makna penting data/informasi bagi pengambilan keputusan adalah peningkatan kualitas data
sehingga dapat memberikan informasi bagi para pengambil keputusan.
9. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing maka kehilangan data
akan memberikan dampak buruk bagi entitas. Pesaing dapat menggunakan data tersebut untuk
mengalahkan entitas saingannya sehingga mengakibatkan entitas menjadi kehilangan pasar,
berkurangnya keuntungan, dan sebagainya.
10. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini, baik itu di internal
dan eksternal organisasi/entitas (Compliance)
Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar entitas memberikan dampak positif
dan bernilai tambah guna memberikan keyakinan yang cukup bagi para pihak yang berkepentingan
entitas khususnya para regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak
meniadakan prinsip biayamanfaat dalam melakukan kegiatan usaha/bisnis entitas khususnya kegiatan
teknologi informasi.

DAFTAR PUSTAKA
Asmuni, Idris,2006, “kertas kerja audit sistem informasi (sebuah gagasan baru dalam standar
profesional pemeriksaan dan pengembangan sistem informasi)”

Darono, Agung, 2009, “Penerapan Teknik Audit Berbantuan Komputer dalam Audit Intern
Pemerintah”, Konferensi Nasional Sistem Informasi 2010, STMIK MDP Palembang
http://10503116.blog.unikom.ac.id/it-audit-tools.hi (diakses 06 Juni 2013)
http://aditpato7.wordpress.com/2012/05/01/it-audit/ (diakses 06 Juni 2013)
http://elmolya.blogspot.com/2011/03/it-audit-dan-forensik-audit-merupakan.html(diakses 06 Juni
2013)
http://highpecundang.blogspot.com/2011/03/it-audit-dan-it-forensic.html(diakses 06 Juni 2013)
http://intersystem.biz/index2.php?option=com_content&do_pdf=1&id=353(diakses 06 Juni 2013)
http://uzi-online.blogspot.com/2013/03/laporan-it-audit-ilab-gunadarma.html (diakses 06 Juni 2013)