Audit Sistem Informasi Dan Penggunaannya
Audit Sistem Informasi Dan Penggunaannya
Audit Sistem Informasi adalah sebuah proses yang sistematis dalam mengumpulkan dan mengevaluasi bukti-bukti
untuk menentukan bahwa sebuah sistem informasi berbasis komputer yang digunakan oleh organisasi telah dapat
mencapai tujuannya.
Audit merupakan sebuah kegiatan yang melakukan pemerikasaan untuk menilai dan mengevaluasi sebuah aktivitas
atau objek seperti implementasi pengendalian internal pada sistem informasi akuntansi yang pekerjaannya
ditentukan oleh manajemen atau proses fungsi akuntansi yang membutuhkan improvement. Proses auditing telah
menjadi sangat rapi di Amerika Serikat, khususnya pada bidang profesional accounting association. Akan tetapi, baik
profesi audit internal maupun eksternal harus secara terus menerus bekerja keras untuk meningkatkan dan
memperluas teknik, karena profesi tersebut akan menjadi tidak mampu untuk mengatasi perkembangan dalam
teknologi informasi dan adanya tuntutan yang semakin meningkat oleh para pemakai informasi akuntansi.
AUDIT SISTEM INFORMASI
Merupakan suatu proses pengumpulan dan pengevaluasian bukti-bukti yang dilakukan oleh pihak yang independen
dan kompeten untuk mengetahui apakah suatu sistem informasi dan sumber daya terkait, secara memadai telah
dapat digunakan untuk:
a. melindungi asset.
b. menjaga integritas dan ketersediaan sistem dan data.
c. menyediakan informasi yang relevan dan handal.
d. mencapai tujuan organisasi dengan efektif.
e. menggunakan sumber daya dengan efisien.
f. Tujuan audit SIA adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut.
g. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi :
Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses
manajemen.
Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani
Meskipun berbagai macam tipe audit dilaksanakan, sebagian besar audit menekankan pada sistem informasi
akuntansi dalam suatu organisasi dan pencatatan keuangan dan pelaksanaan operasi organisasi yang efektif dan
efisien.
Secara garis besar perlunya pelaksanaan audit dalam sebuah perusahaan yang telah mempunyai keahlian dalam
bidang teknologi informasi yaitu antara lain:
A. Kerugian akibat kehilangan data.
Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam organisasi bisnis saat ini. Banyak
aktivitas operasi mengandalkan beberapa informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi
sebuah potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan masa mendatang. Jika informasi
ini hilang akan berakibat cukup fatal bagi organisasi dalam menjalankan aktivitasnya.
Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan hilang,
misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga
misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo
beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga
keamanan datanya. Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak
adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data,
sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.
B. Kerugian akibat kesalahan pemrosesan komputer.
Pemrosesan komputer menjadi pusat perhatian utama dalam sebuah sistem informasi berbasis komputer. Banyak
organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari
pekerjaan yang sederhana, seperti perhitungan bunga berbunga sampai penggunaan komputer sebagai bantuan
dalam navigasi pesawat terbang atau peluru kendali. Dan banyak pula di antara organisasi tersebut sudah saling
terhubung dan terintegrasi. Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam
komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan kehidupan
manusia.
C. Pengambilan keputusan yang salah akibat informasi yang salah.
Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan
keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi tergantung kepada jenis keputusan
yang akan diambil. Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan dapat
ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang
menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula.
D. Kerugian karena penyalahgunaan komputer (Computer Abused)
Tema utama yang mendorong perkembangan dalam audit sistem informasi dalam sebuah organisasi bisnis adalah
karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa jenis tindak kejahatan dan penyalah-
gunaan komputer antara lain adalah virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang
komputer tanpa ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan fisik atau
mengambil data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi
(seseorang yang mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak
semestinya).
Hacking - seseorang yang dengan tanpa ijin mengakses sistem komputer sehingga dapat melihat,
memodifikasi, atau menghapus program komputer atau data atau mengacaukan sistem.
Virus - virus adalah sebuah program komputer yang menempelkan diri dan menjalankan sendiri sebuah
program komputer atau sistem komputer di sebuah disket, data atau program yang bertujuan mengganggu atau
merusak jalannya sebuah program atau data komputer yang ada di dalamnya. Virus dirancang dengan dua
tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif dan kedua mengganggu atau merusak sistem
Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau hilang dicuri atau
dimodifikasi.
Aktivitas operasional rutin akan terganggu.
Kejahatan dan penyalahgunaan komputer dari waktu ke waktu semakin meningkat, dan hampir 80% pelaku
Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas),
kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
melindungi aset,
menjaga integritas dan ketersediaan sistem dan data,
TIPE AUDIT
Audit yang dilaksanakan sesuai tipe perusahaan yaitu operasional, compliance, pengembangan system, internal
control, financial dan kecurangan audit. Empat jenis auditor yang dilibatkan dalam menyelenggarakan audit yang di
list adalah:
Jenis-jenis audit:
1. Operational audit, terkonsen pada efisiensi dan efectifitas dengan semua sumberdaya yang digunakan
untuk melaksanakan tugas, cakupanya meliputi kesesuaian praktik dan prosedur dengan peraturan yang
ditetapkan
2. Compliance audit terkonsentrasi pada cakupan undang-undang, peraturan pemerintah, pengendalian dan
kewajiban badan eksternal lain yang telah diikut.
3. Project manajement and change control audit,(dulu dikenal sebagai suatu pengembangan sistem audit)
terkonsentrasi oleh efesiensi dan efektifitas pada berbagai tahap pengembangan sistem siklus kehidupan yang
sedang diselenggarakan.
4. Internal control audit terkonsentrasi pada evaluasi struktur pengendalian internal
5. Financial audit terkonsentrasi pada kewajaran laporan keuangan yang menunjukan posisi keuangan, aliran
kas dan hasil kinerja perusahaan.
6. Fraud audit adalah nonrecurring audit yang dilaksanakan untuk mengumpulkan bukti untuk menentukan
apakah sedang terjadi, telah terjadi atau akan terjadi kecurangan. Dan penyelesaian hal sesuai dengan
pemberian tanggungjawab.
Kebutuhan akan etika. Setiap profesi mempunyai standar professional dalam bertingkah laku dan prakteknya.
Statement ini ditulis dalam bentuk yang dapat dimengerti dan dapat dilaksanakan berdasarkan aturan yang ada.
Kode etik auditor menunjukkan sikap dan prinsip yang harus ada pada auditor sehingga dapat memberikan kontribusi
pada audit yang efektif, melindungi kepentingan pemilik perusahaan yang diaudit, dan menjaga hubungan yang baik
dengan klien.
Dalam lingkup auditing, kode etik disebut codes of professional conduct. Internal auditor mengikuti standar-standar
praktik professional internal auditing. Sedangkan auditor eksternal mengikuti pernyataan standar auditing. kedua
standar ini mempunyai banyak persamaan.
Consultant independent yang berkecimpung dibidang manajemen dan system informasi juga mempunyai kode etik.
Kode etik ini dikembangkan oleh AICPA yang serupa dengan standar auditor.
Standar audit menentukan kualitas dan tingkah laku yang professional. Standar ini dibagi menjadi dua kelompok.
Kelompok yang pertama membicarakan mengenai standar umum audit yaitu berhubungan dengan profesionalitas,
dan independensi. Sedangkan standar yang kedua membicarakan mengenai lingkup audit seperti halnya (1),
evaluasi struktur pengendalian internal untuk menilai risiko pengendalian.review terhadap semua dokumen dan
catatan yang bersangkutan, (2) Efek dari otomatisasi standar
Ketika perusahaan menggunakan system informasi akuntansi berbasis computer, pasti akan berakibat pada
prosedur audit yang ditetapkan. Di lain pihak, dengan penggunaan system teknologi tidak memberikan pengaruh
yang signifikan. Dengan kata lain, otomatisasi sangat tidak berpengaruh pada standar auditing professional yang
berterima umum. Auditor dituntut untuk dapat menunjukkan profesionalismenya, termasuk pelatihan dan kecakapan
yang memadai. Auditor diminta untuk mengikuti proses audit yang sama. Proses ini terdiri dari evaluasi terhadap
internal control yang ada, termasuk saat menggunakan computer-oriented.
Impact of computerization on audit procedures
Seperti yang telah diterangkan, audit yang melibatkan SIA akan dipengaruhi oleh metode processing yang
diterapkan.
Luas/cakupan dari computer processing yang digunakan dalam aplikasi akuntansi, seperti halnya tingkat
kompleksitas processing, mungkin juga berpengaruh terhadap sifat, timing, dan luas dari prosedur audit.
Sebagai contoh, computer based system tidak menyediakan audit trail (jejak audit) yang nampak. Audit dalam sistem
ini memerlukan hasil printout dari jurnal dan buku besar dan file record yang lain. Dengan penggunaan real-time
processing system akan menambah tingkat kesulitan, dikarenakan sistem ini beroperasi tanpa membutuhkan
dokumen sumber. Selain itu, sistem ini juga melakukan record secara update. Microcomputer hardware dapat dicuri
dengan mudah dan dapat pila diakses oleh pihak-pihak yang tidak berwewenang. Sedangkan paket microcomputer
software sering diproses tanpa pengecekan yang cukup. Network komputer memancarkan data ke berbagai wilayah
terutama ke wilayah yang peka terhadap akses tanpa otorisasi dan gangguan. Jika keadaan ini mempengaruhi
struktur internal control mak juga akan mempengaruhi proses audit.
Dikarenakan tingginya tingkat kompleksitas dari computer based processing, maka dibutuhkan tipe auditor khusus
yaitu auditor sistem informasi komputer atau the computer information system auditor (CISA). CISA menguasai skill
khusus, misalnya pengetahuan mengenai hardware dan software komputer, database technology, data
communications technology, and computer oriented control and audit technique. Idealnya, auditor seharusnya
mengusai berbagai skill yang dimiliki CISA. Bagaimanapun, keberadaan CISA yang berpengetahuan yang lebih
mengenai teknologi informasi akan selalu dibutuhkan untuk membantu proses audit dalam sistem komputer yang
kompleks.
AUDITING PROCESS
Terdapat lima tahap dalam audit keuangan, yaitu:
dahulu mengenai sistem pengendalian internal perusahaan. Dengan pemahaman tersebut, auditor dapat menilai
kekuatan dan kelemahan sistem pengendalian internal. Auditor sebaiknya menggunakan berbagai teknik untuk
mengumpulkan fakta, seperti memeriksa kembali catatan dan dokumen, mengamati kegiatan, interview dengan
Auditior, yaitu (1) Auditor melakukan penilaian pendahuluan berkaitan dengan keefektifan operasi dalam struktur
pengendalian internal dan pengendalian khusus yang diterapkan dalam SAI harus diidentifikasi. (2) Auditor
harus membuat judgement (penilaian) agar pengendalian internal yang diimplementasikan adalah pengendalian
yang kritis dan mereka dapat bekerja sesuai yang ditentukan oleh manajemen (3)Auditor harus menilai setiap
kekuatan pengendalian internal, sehingga risiko pengendalian dapat diperkirakan. Pada tingkat di mana risiko itu
berada dalam suatu kisaran yang dapat diterima, auditor mempersiapkan program audit yang menunjukkan
langkah pengujian kekuatan pengendalian yang terkait. Resiko pengendalian diartikan sebagai risiko yang
menunjukkan pernyataan salah secara material dalam asersi-asersi yang mengarah pada kesalahan yang
harus mempertimbangkan faktor biaya. Oleh karena itu alternatif yang mungkin bisa dilakukan oleh seseorang
dapat mengevaluasi efektifitas operasional dari sistem pengendalian internal. Bukti tersebut mendukung
penemuan audit untuk tiap-tiap siklus transaksi yang dievaluasi. Evaluasi yang dihasilkan ini menunjukkan
judgement auditor yang terbaik berkaitan dengan (a) memadainya pengendalian yang diamati dan (b)
pengendalian tertentu untuk tiap-tiap kelompok transaksi yang utama. Tingkat risiko pengendalian akhir
memberikan dasar untuk memperkirakan tingkat risiko yang terdeteksi yang akan datang, sifat, waktu, serta
untuk mencapai tujuan audit. Auditor menyatakan sifat dan prosedur pengujian yang menunjukkan luas dan
waktu dibutuhkan
4. PENGUJIAN SUBSTANTIF
Langkah-langkahnya adalah:
1. Memilih dan Melaksanakan Pengujian Substanstif. Pengujian substantiv merupakan bagian terbesar dari
program audit.Tujuan dari pengujian substantiv dalam audit keuangan adalah untuk memberikan asersi laporan
keuangan yang valid yang dibuat oleh manajemen. Tiga pengujian substantiv tersebut adalah: (1) melakukan
prosedur analitis final, (2) menguji rekening neraca, (3) menguji secara rinci kelompok-kelompok transaksi.
Jumlah pengujian substantiv didasarkan pada risiko terdeteksi final untuk tiap-tiap golongan transaksi utama.
2. Mengevaluasi Pengujian Substantif. Dalam evaluasi ini, hasil pengujian yang dapat diterima, untuk
meminimalisasi kemungkinan kesalahan-kesalahan yang material dan pernyataan yang salah dalam asersi
laporan keuangan. Hasil pengujian yang tidak dapat diterima memerlukan penambahan sample dalam transaksi
sebelum audit dapat diselesaikan.
5. PELAPORAN AUDIT
Tahap final audit ini adalah untuk memberikan laporan audit berkaitan dengan permasalahan yang ada di
perusahaan.Langkah-langkahnya adalah:
Mencatat Kondisi-kondisi yang dapat dilaporkan. Auditor harus membuat catatan atas kondisi-kondisi yang
dilaporkan kepada dewan audit, mencakup kecurangan-kecurangan yang signifikan dalam perancangan atau
1. Audit trail lengkap dan visible. Oleh karena itu dokumen sumber digunakan untuk semua transaksi, jurnal-
jurnal terinci dicetak dan referensi transaksi dipindahkan dari jurnal ke buku besar dan laporan ringkas.
2. Pemrosesan operasi yang secara relatif tidak rumit dan volumenya rendah.
3. Dokumennya lengkap, seperti data flow diagram dan sistem flowchart, yang tersedia bagi auditor.
1. Extracting data from files, GAS harus mempunyai kemampuan untuk menyuling dan retrieve data dari
berbagai struktur, media, dan bentuk catatan file pada saat digunakan untuk mengaudit perusahaan yang
bervariasi. Setelah di suling, data diedit dan kemdian ditransfer pada audit work file, penyimpanan data tersedia
untuk digunakan dengan program lain yang ada pada GAS
2. Calculating With data,beberapa step dalam audit terdiri dai addition, subtraction, multiplication dan division
operation. Contohnya koreksi jurnal dilakuka dengan menjural ulang.
3. Performing comparisons with data, perbandingan mungkin dilakukan untuk menyeleksi data elemen untuk di
tes untuk memastikan adanya konsistensi diantara data elemen dan untuk memverifikasi apakah kondisi tertentu
telah didapat. GAS seharusnya menyediakan logical operator seperti equal, less than, dan greater than.
4. Sumarizing data, data elements harus sering di ringkas untuk memberikan dasar untuk perbandingan.
Contoh: list detail gaji harus diringkas untuk dibandingkan dengan laporan penggajian.
5. Analyzing data, berbagai data harus dianalisis untuk memberikan dasar review atas trend perusahaan.
Contohnya, piutang harus ditaksir umurnya utuk menentukan kemungkinan piutang tersebut dapat ditagih.
6. Reorganizing data, data elemen perlu untuk di sortir atau digabungkan. Contohnya: berbaga produk yang
dijual perusahaan boleh mungkin di re-sorted secara ascending berdasar jumlah total penjualan untuk
membantu analisis penjualan.
7. Select sample for testing. Dalam audit, tidak semua data dapat di uji. Sample harus diambil secara random.
Contohnya sample customer dapat dipilih secara random dari catatan piutang dagang.
8. Gathering statistical data, seorang auditor sering membutuhkan data-data statistik. Contohnya: mean dan
median dari penjualan produk.
9. Printing Confirmation Request, analyses, and other output
Manfaat GAS:
1. Memungkinkan auditor untuk mengakses catatan computer yang dapat dibaca untuk berbagai macam
aplikasi dan organisasi.
2. Memungkinkan auditor untuk memeriksa lebih banyak data daripada jika auditor masih menggunakan
proses manual.
3. Dapat melakukan berbagai macam fungsi audit secara cepat dan akurat, termasuk pemilihan sample secara
statistic.
4. Mengurangi ketergantungan pada nonauditing personel untuk melakukan peringkasan data, dengan
demikian auditor dapat mengelola pengendalian audit yang lebih baik.
5. Auditor hanya memerlukan pengetahuan yang cukup (tidak begitu dalam) tentang computer.
Keterbatasan GAS:
GAS tidak memeriksa application programe dan programmed check secara langsung sehingga tidak dapat
menggantikan audit –through-the-computer-techniques.
setelah tujuan audit tealah ditetapkan, dan lingkup audit telah ditentukan serta manajemen cooperation diperoleh,
maka auditor siap untuk preliminary survey. survei membantu auditor untuk mengidentifikasi lingkup masalah,
sensitive area, dan operasi yang rumit tentang audit DP departement. Setelah preliminary survey, auditor harus bisa
menentukan tingkat kompleksitas audit operasional.selama preliminnary survey, auditor akan mempelajari
permasalahan operasional manajemen DP. Auditor perlu mendalami mengenai DP center sehingga familiar dengan
pengoperasiannya. Auditor sebaiknya membuat rencana dalam mengusulkan petunjuk DP centernya dan bertindak
sebagai penghubung bagi semua data collection dan dokumentasi syang diperoleh. Auditor akan membentuk
rencana tahapan dalam operasi actual yang disesuaikan dengan diskripsi tertulis maupun lisan dan pemahaman
yang telah diberikan oleh DP personil kepada auditor. Proses verifikasi ini memerlukan contoh transaksi atau lingkup
kerja yang diuji secara detail.
Prelimanary phase pada operational audit merupakan basis pada tahap pengujian audit yang terperinci. DP
manajemen sebaiknya diberitahu pengungkapan penyimpangan dan membantu dalam petunjuk pada lingkup
permasalahan. Auditor mendisain program audit untuk maenemukan pertimbangan atau penyebab ketidakcocokan.
lima area terdaftar ini diharapkan dapat menyajikan beberapa faktor-faktor penting yang harus dipertimbangkan.
ketika mereka memberi auditor suatu pandangan umum tentang komponen penting DP functioni dan dapat bertindak
sebagai starting point yang baik.
Reporting
pada tahap penyelesaian opersional audit laporan diberikan kepada manajemen dan komite audit perusahaan.Isi dari
laporan ini bervariasi sesuai pada harapan manajemen.contohnya : laporan mungkin terdiri dari pendapat yang
mengacu pada fungsi pengelolaan informasi yang efektif dan efisien, dan saran-saran yang membangun.Internal
auditor diwajibkan untuk melakukan follow up pada report audit findings dan memberikan rekomendasi untuk
memastikan bahwa komite audit mengambil langkah yang tepat.