Anda di halaman 1dari 22

AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI

INFORMASI
Diajukan Untuk Memenuhi Salah Satu Tugas Mata Kuliah Sistem Informasi dan
Pengendalian Internal
Dosen Pengampu : Endang Darmawan, S.E., M.Si., Ak

Disusun Oleh :
Nenden Nila Sughiana 1518204015
Fergisa Rindang Primadi 1518204016

UNIVERSITAS WIDYATAMA
FAKULTAS EKONOMI
PROGRAM STUDI PENDIDIKAN PROFESI AKUNTANSI
BANDUNG
2019
KATA PENGANTAR

Puji dan syukur kami ucapkan kepada ALLAH SWT atas anugerah serta kekuatan
yang diberikanNya memampukan kami untuk menyelesaikan makalah ini. Dia juga yang
mengatur dan menjadikan semua ini terselesaikan dengan indah pada waktunya. Makalah
ini disusun guna memenuhi persyaratan yang dibutuhkan untuk memenuhi nilai pada
mata kuliah Sistem Informasi dan Pengendalian Internal dengan dosen pengajar
Endang Darmawan, S.E., M.Si., Ak dengan topik yang kami bahas adalah AUDIT ATAS
SISTEM INFORMASI BERBASIS TEKNOLOGI INFORMASI
Dalam penyusunan makalah ini, tentu kami masih terdapat kekurangan dan
kesalahan, oleh sebab itu kami mengharapkan kritik dan saran yang bersifat membangun
dari para pembaca demi tercapai kesempurnaan dalam makalah ini. Semoga laporan ini
dapat bermanfaat bagi semua pihak yang memerlukan dan membacanya dalam kegiatan
belajar mengajar guna peningkatan ilmu pengetahuan terutama dalam mata kuliah Sistem
Informasi dan Pengendalian Internal

Hormati Kami,

Penulis

i
DAFTAR ISI

KATA PENGANTAR......................................................................................................i
DAFTAR ISI....................................................................................................................ii
BAB I PENDAHULUAN................................................................................................ 1
1.1 Latar Belakang ................................................................................................... 1
1.2 Rumusan Masalah .............................................................................................. 2
1.3 Tujuan ................................................................................................................ 2
BAB II PEMBAHASAN ................................................................................................. 3
2.1 Definisi Audit Sistem Informasi ........................................................................ 3
2.2 Tujuan Audit Sistem Informasi menurut Ron Weber ........................................ 3
2.3 Memahami Tujuan Audit Sistem Informasi dan Pendekatan yang Digunakan . 3
2.4 Merancang Suatu Rencana untuk Mengevaluasi Pengendalian Internal dalam
Sistem Informasi ............................................................................................................ 5
2.4.1 Tujuan Audit 1: Keamanan secara Keseluruhan......................................... 5
2.4.2 Tujuan Audit 2: Pengembangan dan Akuisisi Program.............................. 7
2.4.3 Tujuan Audit 3: Modifikasi Program.......................................................... 8
2.4.4 Tujuan Audit 4: Pemrosesan Komputer.................................................... 10
2.4.5 Tujuan Audit 5: Sumber Data ................................................................... 12
2.4.6 Tujuan Audit 6: Arsip Data ...................................................................... 13
2.5 Peran Auditor....................................................................................................14
2.6 IT Auditor......................................................................................................... 15
2.7 Memahami Penggunaan Piranti Lunak Computer Audit dan Perannya dalam
Menunjang Audit Sistem Informasi ............................................................................ 15
2.8 Contoh Kasus Audit Sistem Informasi ............................................................. 16
BAB III PENUTUP ....................................................................................................... 19
3.1 Kesimpulan ...................................................................................................... 19
3.2 Saran:................................................................................................................ 19
Referensi

ii
BAB I
PENDAHULUAN

1.1 Latar Belakang


Pesatnya perkembangan peradaban manusia dewasa ini, seiring dengan penemuan
dan pengembangan ilmu pengetahuan dalam bidang informasi dan komunikasiyang
mampu menciptakan alat-alat yang mendukung perkembangan Teknologi informasi,
mulai dari sistem komunikasi sampai dengan alat komunikasi yang searah maupun
duaarah (interaktif). Perkembangan cara penyampaian informasi yang dikenal dengan
istilah Teknologi informasi atau Information Technology (IT) bisa dikatakan telah
merasuki kesegala bidang dan ke berbagai lapisan masyarakat dalam kehidupan, karena
dengandukungannya membuat organisasi/instansi dan individu/perseorangan dalam
kancah dunia bisnis merasa memiliki keunggulan kompetitif (daya saing) luar biasa
khususnya dalam mengaudit sistem informasi akuntansi yang berbasis pada
komputerisasi gunamembantu meningkatkan penyediaan informasi agar dapat
mendukung proses pengambilan keputusan yang akan dilakukan oleh manajemen dalam
mengembangkansistem yang ada maupun dalam menyusun suatu sistem yang baru
menggantian sistem yang lama secara keseluruhan atau memperbaiki sistem yang telah
ada serta untuk perencanaan dan pengendalian operasi perusahaan sehingga senantiasa
memiliki sinergiuntuk eksis dalam dunia bisnis.Peranan Teknologi Informasi dalam
bisnis telah mengubah secara radikal tipe pekerjaan, pekerja, organisasi bahkan sistem
manajemen dalam mengelola sebuah organisasi.
Pengendalian (controlling) merupakan salah satu fungsi manajemen dalam
mencapaitujuan organisasi,yang merupakan manifestasidari usaha manajemen untuk
mengurangiresiko kerugian dan penyimpangan dalamsuatu organisasi.Pengendalian
Internal yangefektif merupakan salah satu faktor kuncidalam kesuksesan sebuah
organisasi.Dalampengendalian intern yang efektif, manajemen dan segenap anggota
organisasi yang lainakan memiliki tingkat keyakinan yangmemadai dalam mencapai
tujuan dan sasaran suatu organisasi.Dimana dengan adany sistem pengendalian intern
yang efektif,dapat membantu dalam mencapai tujuan organisasi yang antara lain dalam

1
hal efisiensi,mengurangi resiko kerugian,dan menghasilkan suatu laporan keuangan yang
andal dan sesuai dengan hukum dan peraturan yang berlaku.
Dengan semakin dominannya penggunaan komputer dalam membantu kegiatan
operasional diberbagai perusahaan, maka diperlukan standar-standar yang tepat sebagai
alat pengendali internal untuk menjamin bahwa data elektronik yangdiproses adalah
benar.Sehingga data elektronik tersebut menghasilkan pelaporan keuangan perusahaan
yang dapat dipertanggungjawabkan. Semula pekerjaan banyak yang mengandalkan otot
ke pekerjaan yangmengandalkan otak. Tipe pekerjaan menjadi dominan bisa memiliki
peranan penting menggantikan peran manusia secara otomatis terhadap suatu siklus
sistem mulai dariinput, proses dan output di dalam melaksanakan aktivitas serta telah
menjadi fasilitator utama bagi kegiatan-kegiatan bisnis yang memberikan andil besar
terhadap kesalahan interprestasi dan penyajian laporan keuangan yang hal ini
menyulitkan para users.

1.2 Rumusan Masalah


Rumusan masalah dalam makalah sehingga pemakalah dapat menulis dan
menyelesaikan makalah ini yaitu:
1. Apa yang dimaksud dengan Audit sistem informasi?
2. Apa tujuan dari audit sistem informasi?
3. Apa saja manfaat audit?
4. Apa saja piranti lunak computer audit?

1.3 Tujuan
Tujuan dari pembuatan makalah ini yaitu:
1. Menyelesaikan tugas makalah Sistem Informasi
2. Agar dapat memahami dan mengerti apa yang dimaksud dengan audit sistem
informasi.
3. Agar dapat memahami dan mengerti apa tujuan audit sistem informasi
4. Agar Mahasiswa dapat memahami dan mengerti bagaimana konteks pelaksanaan
dari audit sistem informasi.

2
BAB II
PEMBAHASAN

2.1 Definisi Audit Sistem Informasi


Merupakan suatu proses pengumpulan dan pengevaluasian bukti-bukti yang
dilakukan oleh pihak yang independen dan kompeten untuk mengetahui apakah suatu
sistem informasi dan sumber daya terkait, secara memadai telah dapat digunakan untuk:
o Melindungi aset
o Menjaga integritas dan ketersediaan sistem dan data
o Menyediakan informasi yang relevan dan handal
o Mencapai tujuan organisasi dengan efektif
o Menggunakan sumber daya dengan efisien,

2.2 Tujuan Audit Sistem Informasi menurut Ron Weber


a. Meningkatkan keamanan aset-aset perusahaan
b. Meningkatkan data dan menjaga integritasi data
c. Meningkatkan efektifitas system
d. Meningkatkan efisiensi system
e. Ekonomi, dua aspek utama tujuan audit sistem informasi yaitu:
o Conformance (Kesesuaian), yaitu audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kesesuaian seperti kerahasiaan, Integritas,
Ketersediaan, Kepatuhan.
o Performance (Kinerja), yaitu audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kenerja seperti Efektifitas, Efisiensi,
Kehandalan.

2.3 Memahami Tujuan Audit Sistem Informasi dan Pendekatan yang Digunakan
Tujuan dari audit sistem informasi adalah untuk mereviu dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika menjalankan audit sistem
informasi, auditor harus memastikan enam tujuan audit berikut terpenuhi:

3
1. Keamanan secara keseluruhan
Tindakan pengamanan secara keseluruhan bertujuan untuk melindungi peralatan
komputer, program, komunikasi dan data dari akses yang tidak sah, modifikasi yang
tidak sah, maupun perusakan.
2. Pengembangan dan akuisisi program
Tujuan audit ini adalah memastikan bahwa seluruh pengembangan dan akuisisi
program telah dilakukan sesuai dengan otorisasi manajemen umum maupun khusus.
Peran auditor dalam pengembangan sistem harus dibatasi pada reviu independen atas
aktivitas pengembangan sistem. Untuk menjaga independensi, auditor tidak boleh
membantu mengembangkan sistem.
Dua kesalahan yang mungkin terjadi dalam pengembangan sistem adalah (1)
kesalahan dalam pemrograman yang tidak disengaja yang disebabkan karena
kesalahan dalam memahami spesifikasi sistem atau kecerobohan dalam
pemrograman, dan (2) instruksi-instruksi yang tidak sah yang dilakukan dengan
sengaja untuk dimasukkan ke dalam program.
3. Modifikasi program
Tujuan audit ini adalah untuk memastikan bahwa seluruh modifikasi program yang
dilakukan telah mendapatkan persetujuan dan otorisasi dari manajemen.
4. Pemrosesan computer
Tujuan audit ini adalah unuk memastikan agar seluruh pemrosesan transaksi,
arsip-arsip, laporan, dan catatan komputer lainnya akurat dan lengkap.
5. Data sumber
Tujuan audit ini adalah untuk memastikan agar sumber data yang tidak akurat atau
otorisasi yang tidak tepat dapat teridentifikasi dan tertangani sesuai dengan dengan
kebijakan manajemen.
6. Arsip data
Tujuan audit ini adalah untuk memastikan agar arsip-arsip data komputer telah akurat,
lengkap dan rahasia.
Pendekatan evaluasi pengendalian internal yang digunakan dalam audit sistem informasi
akuntansi menggunakan pendekatan audit berbasis-risiko (risk-based audit approach),
yang memberikan kerangka untuk melakukan audit sistem informasi. Dalam pendekatan
audit berbasis-risiko, langkah-langkah yang harus dilakukan terdiri dari:

4
1. Memahami ancaman (kecurangan dan kesalahan) yang dihadapi oleh perusahaan. Ini
merupakan suatu daftar kejadian yang tidak disengaja maupun kecurangan yang
disengaja dan kerusakan yang dialami oleh sistem tersebut.ENGENDALIAN
2. Mengidentifikasi prosedur pengendalian untuk mencegah, mendeteksi atau
mengoreksi ancaman tersebut. Ini terdiri dari semua pengendalian yang diterapkan
oleh manajemen dan yang harus direviu oleh auditor serta diuji, dalam rangka
mengurangi ancaman.
3. Evaluasi atas prosedur pengendalian. Pengendalian dievaluasi dengan dua cara:
a. Reviu sistem untuk menentukan apakah prosedur pengendalian sudah
dijalankan.
b. Uji pengendalian yang dilakukan untuk menentukan apakah pengendalian yang
sudah ada berjalan sebagaimana yang diinginkan.
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya terhadap
sifat, waktu atau keluasan prosedur audit. Jika auditor menentukan bahwa risiko
pengendalian terlalu tinggi karena sistem pengendalian tidak memadai, auditor
harus mendapatkan lebih banyak bukti, bukti audit yang lebih baik, atau bukti audit
yang tepat waktu. Kelemahan pengendalian di satu area dapat diterima jika ada
pengendalian pengganti (compensating control) di area lain.

2.4 Merancang Suatu Rencana untuk Mengevaluasi Pengendalian Internal dalam


Sistem Informasi
Rancangan suatu rencana untuk mengevaluasi pengendalian internal dalam sistem
informasi menggunakan pendekatan audit berbasis-risiko digunakan untuk mengevaluasi
keenam tujuan audit sebagaimana dijelaskan sebelumnya. Kerangka audit untuk
mengevaluasi pengendalian internal dalam sistem informasi dipaparkan sebagai berikut:

2.4.1 Tujuan Audit 1: Keamanan secara Keseluruhan


Kerangka audit berbasis-risiko untuk memenuhi tujuan audit ini adalah sebagai
berikut:
1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi
dalam mengevaluasi tujuan audit ini antara lain:

5
a. Pencurian piranti keras atau kerusakan piranti keras yang disengaja maupun tidak
disengaja;
b. Kehilangan, pencurian, atau akses yang tidak sah terhadap program, data dan
sumber-sumber sistem lainnya.
c. Kehilangan, pencurian atau pengungkapan yang tidak sah atas data yang sifatnya
rahasia;
d. Modifikasi yang tidak sah atau penggunaan program dan arsip data secara tidak
sah;
e. Gangguan atas aktivitas-aktivitas bisnis yang utama.
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
a. Rencana perlindungan atau pengamanan informasi;
b. Pembatasan akses fisik terhadap peralatan komputer;
c. Pembatasan akses logis terhadap sistem dengan menggunakan
pengendalian otentikasi dan otorisasi;
d. Pengendalian atas penyimpanan data dan transmisi data;
e. Prosedur perlindungan terhadap serangan virus;
f. Prosedur pencadangan data dan pemulihan data;
g. Rancangan sistem toleransi-kegagalan;
h. Rencana untuk mengatasi kerusakan sistem;
i. Pemeliharaan pencegahan;
j. Firewall;
k. Asuransi atas kerusakan besar dan ganggungan aktivitas bisnis yang utama.
3. Prosedur audit untuk mereviu sistem, terdiri dari:
a. Inspeksi di lokasi tempat penyimpanan peralatan komputer;
b. Reviu kemanan/perlindungan informasi dan rencana untuk mengatasi kerusakan
sistem;
c. Wawancara dengan personil sistem informasi mengenai prosedur kemanan;
d. Reviu atas kebijakan dan prosedur akses fisik dan akses logis;
e. Reviu kebijakan dan prosedur pencadangan dan pemulihan arsip;
f. Reviu kebijakan dan prosedur penyimpanan dan transmisi data;
g. Reviu kebijakan dan prosedur untuk meminimalisir kegagalan sistem;
h. Reviu kontrak pemeliharaan dengan vendor;

6
i. Memeriksa log/catatan akses sistem;
j. Memeriksa kebijakan asuransi untuk menangani kerusakan besar dan gangguan
aktivitas bisnis utama.
4. Prosedur audit untuk menguji pengendalian, terdiri dari:
a. Mengamati dan menguji prosedur akses ke lokasi tempat penyimpanan peralatan
komputer;
b. Mengamati penyiapan penyimpanan dan pencadangan data on-site maupun
off-site;
c. Menguji prosedur pemberian dan modifikasi atas user ID dan kata kunci;
d. Menyelidiki bagaimana cara untuk mengatasi akses-akses yang tidak sah;
e. Memverifikasi keluasan dan efektivitas enkripsi data;
f. Memverifikasi keefektifan pengendalian transmisi data;
g. Memverifikasi keefektifan penggunaan firewall dan prosedur perlindungan atas
virus;
h. Memverifikasi penggunaan pemeliharaan pencegahan dan penggunaan tenaga
listrik cadangan/ UPS (uninterruptable power supply);
i. Memverifikasi jumlah dan keterbatasan cakupan asuransi;
j. Memeriksa hasil dari simulasi rencana pemulihan kerusakan data.
5. Pengendalian pengganti yang mungkin ada antara lain:
a. Kebijakan personil yang mendukung termasuk pemisahan tugas;
b. Pengendalian pengguna yang efektif.

2.4.2 Tujuan Audit 2: Pengembangan dan Akuisisi Program


Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pengembangan
dan akuisisi program terdiri dari:
1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang
tidak sah.
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
a. Mereviu persetujuan lisensi piranti lunak;
b. Pengelolaan otorisasi pengembangan program dan perolehan piranti lunak;

7
c. Pengelolaan dan persetujuan pengguna atas spesifikasi pemrograman;
d. Pengujian secara menyeluruh atas program-program baru, termasuk melakukan
user-acceptance test;
e. Dokumentasi sistem yang lengkap, termasuk persetujuannya.
3. Prosedur audit untuk mereviu sistem, terdiri dari:
a. Reviu independen atas proses pengembangan sistem;
b. Reviu kebijakan dan prosedur pengembangan/perolehan sistem;
c. Reviu kebijakan dan prosedur otorisasi sistem dan persetujuan;
d. Reviu standar evaluasi pemrograman
e. Reviu standar program dan dokumentasi sistem;
f. Reviu atas uji spesifikasi, uji data dan hasil pengujiannya;
g. Reviu atas kebijakan dan prosedur uji persetujuan;
h. Reviu atas kebijakan dan prosedur perolehan persetujuan lisensi piranti lunak;
i. Diskusi dengan manajemen, para pengguna, dan personil sistem
informasi terkait dengan prosedur pengembangan.
4. Prosedur audit untuk menguji pengendalian, terdiri dari:
a. Wawancara dengan pengguna atas keterlibatan mereka dalam
perolehan/pengembangan sistem dan implementasinya;
b. Reviu notulensi rapat tim pengembangan untuk membuktikan
keterlibatannya dalam pengembangan/perolehan sistem;
c. Verifikasi pengelolaan dan persetujuan sign-off pengguna pada setiap
tahap-tahap pengembangan;
d. Reviu atas pengujian spesifikasi, pengujian data, hasil pengujiannya;
e. Reviu atas persetujuan lisensi piranti lunak.
5. Pengendalian pengganti yang mungkin ada antara lain:
a. Pengendalian pemrosesan yang kuat;
b. Pemrosesan independen atas pengujian data oleh auditor.

2.4.3 Tujuan Audit 3: Modifikasi Program


Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas modifikasi
program terdiri dari:

8
1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi
dalam mengevaluasi tujuan audit ini antara lain:
a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang
tidak sah.
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
a. Daftar komponen program yang akan dimodifikasi;
b. Manajemen otoriasi dan persetujuan atas modifikasi program;
c. Persetujuan pengguna atas spesifikasi perubahan program;
d. Tes menyeluruh atas perubahan program, termasuk melakukan user acceptance
test:
e. Dokumentasi lengkap atas perubahan program, termasuk persetujuannya;
f. Pemisahan pengembangan pengujian dan hasil dari setiap versi program
g. Perubahan yang diterapkan oleh personil yang independen dari pengguna dan
pemrogram;
h. Pengendalian atas akses logis.
3. Prosedur audit untuk mereviu sistem, terdiri dari:
a. Reviu kebijakan, prosedur dan standar modifikasi program;
b. Reviu standar dokumentasi untuk modifikasi program;
c. Reviu dokumentasi akhir dari modifikasi program;
d. Reviu pengujian modifikasi program dan prosedur pengujian persetujuan;
e. Reviu uji spesifikasi, uji data dan hasil pengujiannya;
f. Reviu kebijakan dan prosedur uji persetujuan;
g. Reviu standar evaluasi pemrograman;
h. Diskusi kebijakan dan prosedur modifikasi dengan manajemen, para pengguna
dan personil sistem;
i. Reviu kebijakan dan prosedur pengendalian atas akses logis.
4. Prosedur audit untuk menguji pengendalian, terdiri dari:
a. Verifikasi pengguna dan manajemen atas persetujuan sign-off untuk perubahan
program;
b. Verifikasi bahwa komponen program yang akan dimodifikasi telah
diidentifikasi dan ada dalam daftar;

9
c. Verifikasi bahwa prosedur uji perubahan program dan dokumentasinya sudah
sesuai dengan standar;
d. Verifikasi bahwa pengendalian akses logis sudah diterapkan atas perubahan
dalam program;
e. Mengamati implementasi perubahan program;
f. Verifikasi bahwa pemisahan pengembangan, pengujian dan hasil dari setiap
versi program telah dilakukan;
g. Verifikasi bahwa perubahan tidak dilakukan oleh pengguna atau personil
pemrograman;
h. Pengujian atas perubahan program yang tidak sah atau kesalahan dalam
perubahan program dengan menggunakan kode sumber dari program
pembanding lainnya, pemrosesan ulang atau dari simulasi paralel.
5. Pengendalian pengganti yang mungkin ada antara lain:
a. Pengendalian pemrosesan yang kuat;
b. Pengujian independen atas perubahan program yang tidak sah atau kesalahan
dalam perubahan program.

2.4.4 Tujuan Audit 4: Pemrosesan Komputer


Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pemrosesan
komputer terdiri dari:
1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
a. Kegagalan untuk mendeteksi input data yang salah, tidak lengkap atau tidak sah;
b. Kegagalan untuk memperbaiki kesalahan yang ditandai dengan adanya prosedur
pengeditan data;
c. Adanya kesalahan ke dalam arsip atau database selama proses pemutakhiran;
d. Distribusi atau pengungkapan output komputer yang tidak tepat;
e. Ketidakakuratan dalam pelaporan secara disengaja maupun tidak disengaja.
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
a. Melakukan pengeditan data secara berkala;
b. Penggunaan label yang tepat untuk setiap arsip internal dan eksternal;
c. Rekonsiliasi atas batch total;

10
d. Prosedur koreksi kesalahan yang efektif;
e. Pelaksanaan dokumentasi yang dapat dipahami dan menjalankan manualnya;
f. Supervisi yang kompeten atas pengoperasian komputer;
g. Penanganan input dan output data yang efektif oleh personil pengendalian data;
h. Penyusunan daftar perubahan arsip dan ikhtisarnya untuk direviu oleh departemen
pengguna;
i. Pemeliharan atas kondisi lingkungan yang tepat dalam fasilitas komputer.
3. Prosedur audit untuk mereviu sistem, terdiri dari:
a. Reviu dokumentasi administratif untuk standar pengendalian pemrosesan;
b. Reviu dokumentasi sistem untuk pengeditan data dan pengendalian pemrosesan
lainnya;
c. Reviu pelaksanaan dokumentasi untuk kelengkapan dan kejelasan;
d. Reviu salinan daftar kesalahan, laporan batch total dan daftar perubahan arsip;
e. Mengamati pengoperasian komputer dan fungsi pengendali data;
f. Membahas pengendalian pemrosesan dan output dengan operator dan supervisor
sistem informasi.
4. Prosedur audit untuk mennguji pengendalian, terdiri dari:
a. Evaluasi kecukupan standar dan prosedur pengendalian pemrosesan;
b. Evaluasi kecukupan dan kelengkapan pengendalian pengeditan data;
c. Verisikasi ketepatan prosedur pengendalian pemrosesan dengan
mengamati pengoperasian komputer dan pengendalian data;
d. Verifikasi bahwa output dari sistem aplikasi telah didistribusikan dengan benar;
e. Rekonsiliasi sampel batch total dan tindak lanjut atas setiap perbedaan yang ada;
f. Menelusuri kesalahan dalam sampel pengeditan data untuk
memastikan adanya penanganan yang tepat;
g. Verifikasi akurasi pemrosesan transaksi yang sensitif;
h. Verifikasi akurasi transaksi yang dihasilkan oleh komputer;
i. Mencari kode-kode yang salah atau tidak sah dengan melakukan analisis logika
program;
j. Mengecek akurasi dan kelengkapan pengendalian pemrosesan dengan
menggunakan pengujian data;

11
k. Memonitor sistem pemrosesan online dengan menggunakan teknik audit yang
terkini;
l. Menghasilkan kembali laporan-laporan tertentu untuk menguji akurasi dan
kelengkapan.
5. Pengendalian pengganti yang mungkin ada antara lain:
a. Pengendalian pengguna yang kuat dan pengendalian sumber data yang efektif.

2.4.5 Tujuan Audit 5: Sumber Data


Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pengendalian
sumber data terdiri dari:
1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi
dalam mengevaluasi tujuan audit ini antara lain:
a. Sumber data yang tidak akurat atau tidak sah.
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
a. Penanganan input sumber data oleh personil pengendalian secara efektif;
b. Otorisasi pengguna atas sumber data input;
c. Penyusunan dan rekonsiliasi total batch control;
d. Mencatat setiap peneriman, pergerakan dan disposisi semua sumber data input;
e. Verifikasi digit cek;
f. Verifikasi kunci;
g. Penggunaan dokumen pengembalian;
h. Pengeditan data secara rutin;
i. Reviu departemen pengguna atas daftar perubahan arsip dan ikhtisarnya;
j. Prosedur yang efektif untuk mengoreksi dan memasukkan ulang data yang salah.
3. Prosedur audit untuk mereviu sistem, terdiri dari:
a. Reviu dokumentasi mengenai tanggung jawab fungsi pengendalian data;
b. Reviu administratif dokumentasi untuk standar pengendalian sumber data;
c. Reviu metode otorisasi dan memeriksa tanda tangan otorisasi;
d. Reviu dokumentasi untuk mengidentifikasi langkah-langkah
pemrosesan serta pengendalian dan isi sumber data;
e. Dokumentasi pengendalian sumber data dengan menggunakan matriks input
pengendalian;

12
f. Mendiskusikan pengendalian atas sumber data dengan personil
pengendalian, para pengguna sistem dan para manajer.
4. Prosedur audit untuk mennguji pengendalian, terdiri dari:
a. Memantau dan mengevaluasi operasi departemen pengendalian dan prosedur
pengendaliannya;
b. Verifikasi pemeliharaan yang tepat dan penggunaan catatan (log) pengendalian
data;
c. Mengevaluasi bagaimana cara menangani kesalahan-kesalahan yang tercatat
(error log items)
d. Memeriksa sumber data untuk melihat apakah otorisasinya sudah tepat;
e. Rekonsiliasi batch total dan tindak lanjut atas penyimpangan yang terjadi;
f. Menelusuri disposisi atas kesalahan yang ditandai oleh adanya pengeditan data.
5. Pengendalian pengganti yang mungkin ada antara lain:
a. Pengendalian pengguna yang kuat dan pengendalian pemrosesan yang efektif.

2.4.6 Tujuan Audit 6: Arsip Data


Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit pengendalian atas
arsip data terdiri dari:
1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
a. Perusakan data yang tersimpan karena eror, piranti keras dan piranti lunak yang
malfungsi, dan tindakan sabotase dan vandalisme yang disengaja;
b. Modifikasi atau pengungkapan atas data yang tersimpan secara tidak sah.
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain:
a. Penyimpanan data dalam arsip dokumen yang aman dan pembatasan akses fisik
terhadap arsip-arsip data;
b. Pengendalian atas akses logis dan matriks pengendalian akses;
c. Penggunaan label arsip dan mekanisme perlindungan penulisan yang tepat;
d. Pengendalian pemutakhiran yang berkelanjutan;
e. Enkripsi data untuk data yang sifatnya rahasia;
f. Piranti lunak untuk perlindungan terhadap virus;
g. Cadangan seluruh arsip data secara off-site;

13
h. Prosedur titik-titik pengecekan dan prosedur pengembalian data (rollback)
untuk memfasilitasi pemulihan sistem.
3. Prosedur audit untuk mereviu sistem, terdiri dari:
a. Reviu dokumentasi untuk operasi perpustakaan arsip;
b. Reviu kebijakan dan prosedur akses logis;
c. Reviu standar untuk perlindungan atas virus, penyimpanan data off-site, dan
prosedur pemulihan sistem;
d. Reviu pengendalian untuk pemutakhiran berkelanjutan, enkripsi data, konversi
arsip dan rekonsiliasi total arsip utama dengan total pengendalian independen;
e. Memeriksa rencana pemulihan kerusakan sistem;
f. Mendiskusikan prosedur pengendalian arsip dengan para manajer dan operator.
4. Prosedur audit untuk mennguji pengendalian, terdiri dari:
a. Memantau dan mengevaluasi operasi perpusatakaan arsip;
b. Mereviu catatan pemberian password dan modifikasinya;
c. Memantau dan mengevaluasi prosedur penanganan arsip oleh personil operasi;
d. Memantau persiapan dan penyimpanan cadangan arsip off-site;
e. Verifikasi efektivitas penggunaan prosedur perlindungan atas virus;
f. Verifikasi pengendalian pemutakhiran berkelanjutan dan enkripsi data;
g. Verifikasi kelengkapan, keberlakuan, dan pengujian rencana pemulihan
kerusakan;
h. Rekonsiliasi total di arsip utama dengan total pengendalian yang dilakukan
secara terpisah;
i. Memantau prosedur yang digunakan untuk mengendalikan konversi arsip.
5. Pengendalian pengganti yang mungkin ada antara lain:
a. Pengendalian pengguna dan pemrosesan data yang kuat;
b. Pengendalian keamanan komputer yang efektif.

2.5 Peran Auditor dan Akuntan


Sebagian besar jurusan akuntansi mengisi posisi internal maupun eksternal auditor
dan akan sangat dilibatkan dalam program dan proses audit. Pemakaian auditor terus
meningkat sebagai penasehat selama merancang pengembangan sistem. Auditor

14
mungkin membantu dalam pemilihan ukuran keamanan dan kendali, menaksir cost, dan
pengendalian keuntungan dan penentuan prosedur audit yang paling efektif.

2.6 IT Auditor
Audit IT merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem
informasi dalam perusahaan. sehingga menjadi Seorang auditor IT itu tidaklah mudah
karena harus bertanggung jawab terhadap gagalnya pengembangan sistem informasi
yang menyebabkan kerugian serta menuntut kedisiplinan kerja secara profesional. Agar
dapat memahami proses audit teknologi informasi, setidaknya harus memahami
jenis/bagian secara umum dari teknologi informasi itu sendiri yang terdiri atas:

2.7 Memahami Penggunaan Piranti Lunak Computer Audit dan Perannya dalam
Menunjang Audit Sistem Informasi
Computer Assisted Audit Techniques (CAATS) merupakan suatu piranti lunak
audit, yang juga disebut dengan generalized audit software yang menggunakan
spesifikasi yang diberikan oleh auditor untuk menghasilkan program yang menjalankan
fungsi audit, sehingga mampu mengotomisasi atau menyederhanakan proses audit. Dua
piranti lunak yang paling sering digunakan adalah Audit Control Language (ACL) dan
Interactive Data Extraction and Analysis (IDEA). CAATS idealnya cocok untuk
memeriksa arsip-arsip data yang besar untuk mengidentifikasi catatan-catatan yang
dibutuhkan untuk melakukan audit dengan seksama.
Untuk menggunakan CAATS auditor memutuskan tujuan audit, mempelajari
mengenai arsip dan database yang akan diaudit, merancang laporan audit, dan
menentukan bagaimana menghasilkan laporan tersebut. Informasi ini dicatat pada
lembar spesifikasi dan dimasukkan ke dalam sistem. Program CAATS menggunakan
spesifikasi untuk menghasilkan suatu program audit. Program tersebut menggunakan
salinan data langsung perusahaan (untuk menghindari masuknya kesalahan) untuk
melakukan prosedur audit dan menghasilkan laporan audit tertentu. CAATS tidak dapat
menggantikan penilaian auditor atau membebaskan auditor dari fase/tahapan audit
lainnya. Misalnya, auditor masih harus menyelidiki unsur-unsur dalam laporan
pengecualian, verifikasi total arsip terhadap sumber informasi lainnya, dan memerika
serta mengevaluasi sampel audit.

15
CAATS khususnya berguna untuk perusahaan yang memiliki proses bisnis yang
kompleks, operasi yang terdistribusi, volume transaksi yang tinggi atau penggunaan
aplikasi dan sistem yang sangat beragam. Berikut ini adalah beberapa kegunaan utama
CAATS:
1. Melakukan query arsip data untuk menarik catatan-catatan yang memenuhi kriteria
tertentu;
2. Menghasilkan, memutakhirkan, membandingkan, mengunduh dan menggabungkan
arsip;
3. Mengikhtisarkan, mengurutkan dan menyaring data;
4. Mengakses data dari beragam format yang berbeda dan mengkonversi data ke dalam
format umum;
5. Memeriksa catatan-catatan untuk menguji kualitas, kelengkapan, konsistensi dan
kebenarannya;
6. Stratifikasi catatan-catatan, memilih dan menganalisis sampel statistik;
7. Menguji risiko-risiko tertentu dan mengidentifikasi bagaimana cara untuk
mengendalikan risiko tersebut;
8. Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya;
9. Melakukan uji analisis, seperti analisis rasio dan tren, mencari pola data
yang tidak diperkirakan atau data yang tidak dapat dijelaskan yang
mungkin mengindikasikan adanya kecurangan.

2.8 Contoh Kasus Audit Sistem Informasi


Studi Kasus: Pencurian Dana dengan Kartu ATM Palsu
Menurut antara news Sekitar 400 juta yen (Rp.44 miliar) deposito di enam bank di
Jepang telah ditarik oleh kartu-kartu ATM palsu setelah informasi pribadi nasabah
dibocorkan oleh sebuah perusahaan sejak Desember 2006.
Bank-bank yang kini sedang disidik polisi adalah Bank Chugoku yang berbasis di
Okayama, North Pasific Bank, Bank Chiba Kogyo, Bank Yachiyo, Bank Oita, dan Bank
Kiyo. Polisi menduga para tersangka kriminal itu menggunakan teknik pemalsuan baru
untuk membuat kartu ATM tiruan yang dipakai dalam tindak kriminal itu. Pihak
Kepolisian Metropolitan Tokyo meyakini kasus pemalsuan ATM ini sebagai ulah

16
komplotan pemalsu ATM yang besar sehingga pihaknya berencana membentuk gugus
tugas penyelidikan bersama dengan satuan polisi lainnya.
Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen
tabungan para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara
17–23 Oktober 2007. Para nasabah bank-bank itu sempat mengeluhkan adanya
penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka. Kejadian
serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara itu, dana tunai
telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka,
yang letaknya jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa
serupa menimpa bank-bank lainnya.
Tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam
kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana
meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga
diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM
yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas”
tidak digunakan untuk mengakses informasi dalam ATM.
Sampai berita ini diturunkan, polisi masih menyelidiki teknik dan metode yang
pelaku gunakan dalam melakukan serangkaian pembobolan ATM tersebut. Namun,
polisi telah berhasil menemukan satu benang merah, yaitu dimana sebagian besar pemilik
rekening yang dibobol itu adalah anggota satu program yang dijalankan olah sebuah
perusahaan penjual produk makanan kesehatan yang berbasis di Tokyo.

Analisa Kasus:
Dari rangkuman berita diatas, dapat ditarik beberapa kesimpulan, antara lain :
o Pembobolan dana rekening tersebut kemungkinan besar dilakukan oleh orang dalam
perusahaan atau orang dalam perbankan dan dilakukan lebih dari satu orang.
o Karena tidak semua pemilik rekening memiliki hubungan dengan perusahaan
tersebut, ada kemungkinan pembocoran informasi itu tidak dilakukan oleh satu
perusahaan saja, mengingat jumlah dana yang dibobol sangat besar.
o Modusnya mungkin penipuan berkedok program yang menawarkan keanggotaan.
Korban, yang tergoda m endaftar menjadi anggota, secara tidak sadar mungkin telah
mencantumkan informasi-informasi yang seharusnya bersifat rahasia.

17
o Pelaku kemungkinan memanfaatkan kelemahan sistem keamanan kartu ATM yang
hanya dilindungi oleh PIN.
o Pelaku juga kemungkinan besar menguasai pengetahuan tentang sistem jaringan
perbankan. Hal ini ditunjukkan dengan penggunaan teknik yang masih belum
diketahui dan hampir bisa dapat dipastikan belum pernah digunakan sebelumnya.
o Dari rangkuman berita diatas, disebutkan bahwa para pemilik yang uangnya hilang
telah melakukan keluhan sebelumnya terhadap pihak bank. Hal ini dapat diartikan
bahwa lamanya bank dalam merespon keluhan-keluhan tersebut juga dapat menjadi
salah satu sebab mengapa kasus ini menjadi begitu besar.

Dari segi sistem keamanan kartu ATM itu sendiri, terdapat 2 kelemahan, yaitu:
1. Kelemahan pada mekanisme pengamanan fisik kartu ATM.
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis
pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu
jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).
2. Kelemahan pada mekanisme pengamanan data di dalam sistem.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan
penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan
prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang
dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman
dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah
mengetahui PIN korbannya.

18
BAB III
PENUTUP

3.1 Kesimpulan
Audit Sistem Informasi Merupakan suatu proses pengumpulan dan pengevaluasian
bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten untuk mengetahui
apakah suatu sistem informasi dan sumber daya terkait, secara memadai telah dapat
digunakan untuk :melindungi aset, menjaga integritas dan ketersediaan system dan data,
menyediakan informasi yang relevan dan handal, mencapai tujuan organisasi dengan
efektif, menggunakan sumber daya dengan efisien, system informasi menyiratkan
penggunaan teknologi komputer dalam suatu organisasi untuk menyediakan informasi
bagi pengguna. Sistem informasi berbasis-komputer merupakan satu rangkaian perangkat
lunak dan perangkat lunak yang dirancang untuk mentransformasi data menjadi
informasi yang berguna.

3.2 Saran:
o Melakukan perbaikan atau perubahan sistem keamanan untuk kartu ATM. Dengan
penggunaan kartu ATM berbasis chip misalnya, yang dirasa lebih aman dari
skimming. Atau dengan penggunaan sistem keamanan lainnya yang tidak bersifat
PIN, seperti pengamanan dengan sidik jari, scan retina, atau dengan penerapan tanda
tangan digital misalnya.
o Karena pembobolan ini sebagiannya juga disebabkan oleh kelengahan pemilik
rekening, ada baiknya jika setiap bank yang mengeluarkan kartu ATM memberikan
edukasi kepada para nasabahnya tentang tata cara penggunaan kartu ATM dan
bagaimana cara untuk menjaga keamanannya.

Referensi :
Agoes, Sukrisno. 2014. AUDITING Petunjuk Praktis Pemeriksaan Akuntan oleh Akuntan
Publik. Jakarta : Salemba Empat

Modul CA Sistem Informasi dan Pengendalian Internal

19