AUDIT SISTEM INFORMASI

BERBASIS KOMPUTER

Audit internal adalah kegiatan konsultasi independen, obyektif dan konsultasi yang dirancang
untuk menambah nilai dan meningkatkan efektivitas dan efisiensi organisasi, termasuk
membantu dalam desain dan implementasi AIS.

Ada beberapa jenis audit internal:

1) Audit keuangan memeriksa keandalan dan integritas transaksi keuangan, catatan

akuntansi, dan laporan keuangan.
2) Sistem informasi, atau audit pengendalian internal meninjau kontrol AIS untuk menilai
kepatuhannya terhadap kebijakan dan prosedur pengendalian internal dan efektivitasnya
dalam melindungi aset. Audit biasanya mengevaluasi input dan output sistem, kontrol
pemrosesan, cadangan dan rencana pemulihan, keamanan sistem, dan fasilitas komputer.
3) Audit operasional berkaitan dengan penggunaan sumber daya secara ekonomis dan
efisien dan pencapaian tujuan dan sasaran yang ditetapkan.
4) Audit kepatuhan menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan
prosedur yang berlaku. Audit ini sering menghasilkan rekomendasi untuk meningkatkan
proses dan kontrol yang digunakan untuk memastikan kepatuhan terhadap peraturan.
5) Audit investigatif memeriksa insiden kemungkinan kecurangan, penyalahgunaan aset,
pemborosan dan penyalahgunaan, atau kegiatan pemerintah yang tidak patut.

Sebaliknya, auditor eksternal bertanggung jawab kepada pemegang saham perusahaan dan
sebagian besar berkaitan dengan mengumpulkan bukti yang diperlukan untuk menyatakan
pendapat atas laporan keuangan.

Tinjauan Umum Proses Audit

Audit dapat dibagi menjadi empat tahap: perencanaan, pengumpulan bukti, evaluasi bukti, dan
mengkomunikasikan hasil audit. Audit direncanakan untuk berfokus pada area dengan faktor
risiko tertinggi. Ada tiga jenis risiko audit:

1) Risiko inheren adalah kerentanan terhadap risiko material tanpa adanya kontrol.
Misalnya, sistem yang menggunakan pemrosesan online, jaringan, basis data,
telekomunikasi, dan bentuk teknologi canggih lainnya memiliki risiko yang lebih melekat
daripada sistem pemrosesan batch.
2) Risiko pengendalian adalah risiko bahwa salah saji material akan melalui struktur
pengendalian internal dan ke dalam laporan keuangan.
3) Risiko deteksi adalah risiko bahwa auditor dan prosedur auditnya akan gagal mendeteksi
kesalahan material atau salah saji.
  Pengumpulan Bukti Audit Sebagian besar upaya audit dihabiskan untuk mengumpulkan
bukti. Karena banyak tes audit tidak dapat dilakukan pada semua item yang ditinjau,
mereka sering dilakukan berdasarkan sampel.
 Audit keuangan berfokus pada pemeriksaan fisik, konfirmasi, penjaminan, peninjauan
analitis, dan kinerja ulang perhitungan saldo akun.
 Evaluasi Bukti Audit Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan
apakah mendukung kesimpulan yang menguntungkan atau tidak menguntungkan. Jika
tidak meyakinkan, auditor melakukan prosedur tambahan yang cukup untuk mencapai
kesimpulan yang pasti.

Pendekatan Audit Berbasis Risiko

Pendekatan evaluasi pengendalian internal disebut pendekatan audit berbasis risiko, memberikan
kerangka kerja untuk melakukan audit sistem informasi:

1. Tentukan ancaman yang dihadapi oleh perusahaan.

2. Identifikasi prosedur kontrol yang mencegah, mendeteksi, atau memperbaiki ancaman.
3. Mengevaluasi prosedur kontrol. Kontrol dievaluasi dalam dua cara:
a. Tinjauan sistem menentukan apakah prosedur kontrol benar-benar ada.
b. Pengujian kontrol dilakukan untuk menentukan apakah kontrol yang ada berfungsi
sebagaimana dimaksud.
4. Mengevaluasi kelemahan kontrol untuk menentukan pengaruhnya terhadap sifat, waktu,
atau luas prosedur audit.

Audit Sistem Informasi

Tujuan dari audit sistem informasi adalah untuk meninjau dan mengevaluasi kontrol internal
yang melindungi sistem. Ketika melakukan audit sistem informasi, auditor harus memastikan
bahwa enam tujuan berikut dipenuhi:

1) Ketentuan keamanan melindungi peralatan komputer, program, komunikasi, dan

data dari akses, modifikasi, atau perusakan yang tidak sah.
2) Pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan
khusus manajemen.
3) Modifikasi program memiliki otorisasi dan persetujuan manajemen.
4) Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya akurat dan
lengkap.
5) Sumber data yang tidak akurat atau tidak diotorisasi diidentifikasi dan ditangani
sesuai dengan kebijakan manajerial yang ditentukan.
6) File data komputer akurat, lengkap, dan rahasia.
Tujuan 1: Keamanan Keseluruhan

Tujuan 1 menggunakan pendekatan berbasis risiko untuk menyajikan kerangka kerja untuk
mengaudit keseluruhan keamanan komputer. Ini menunjukkan bahwa keseluruhan ancaman
keamanan sistem mencakup kerusakan yang tidak disengaja atau disengaja terhadap aset sistem;
akses tidak sah, pengungkapan, atau modifikasi data dan program; pencurian; dan gangguan
kegiatan bisnis penting.

Tujuan 2: Program Pengembangan dan Akuisisi

Peran auditor dalam pengembangan sistem harus dibatasi tinjauan independen dari kegiatan
pengembangan sistem. Untuk menjaga objektivitas, auditor tidak harus membantu
mengembangkan sistem. Dua hal yang bisa salah dalam pengembangan program: (1) tidak
disengaja kesalahan pemrograman karena kesalahpahaman spesifikasi sistem atau pemrograman
ceroboh dan (2) petunjuk yang tidak sah sengaja dimasukkan ke dalam program. Masalah-
masalah ini dapat dikontrol dengan mengharuskan manajemen dan user otorisasi dan
persetujuan, pengujian menyeluruh, dan dokumentasi yang tepat.

Tujuan 3: Modifikasi Program

Menyajikan kerangka kerja untuk perubahan audit untuk program aplikasi dan perangkat lunak
sistem. Ancaman yang sama yang terjadi selama pengembangan program terjadi selama
modifikasi Program.

Tujuan 4: Pengolahan Komputer

Menyediakan kerangka kerja untuk mengaudit pengolahan transaksi, file, dan catatan komputer
berkaitan dengan file update dan database dan untuk menghasilkan laporan. Menunjukkan
prosedur pengendalian untuk mendeteksi dan mencegah ancaman ini dan sistem review dan tes
kontrol yang digunakan untuk memahami kontrol, mengevaluasi kecukupan mereka, dan uji
apakah mereka berfungsi dengan baik.

Tujuan 5: Data Sumber

Matriks kontrol input digunakan untuk mendokumentasikan tinjauan kontrol data sumber.
Fungsi kontrol data harus independen dari fungsi lain, memelihara log kontrol data, menangani
kesalahan, dan memastikan efisiensi operasi secara keseluruhan. Biasanya tidak layak secara
ekonomi bagi usaha kecil untuk memiliki fungsi kontrol data independen. Untuk kompensasi,
kontrol departemen pengguna harus lebih kuat sehubungan dengan persiapan data, total kontrol
batch, edit program, pembatasan akses fisik dan logis, dan penanganan kesalahan prosedur.

Tujuan 6: File Data

 Tujuan keenam meliputi akurasi, integritas, dan keamanan data yang disimpan dalam file
yang dapat dibaca oleh mesin. Resiko penyimpanan data mencakup modifikasi tidak sah,
penghancuran, atau pengungkapan data. Pendekatan audit berdasarkan tujuan (auditing-by-
objective approach) merupakan alat yang komperhensif, sistematis, dan efektif untuk
mengevaluasi pengendalian internal.