Pengauditan Sistem Informasi Berbasis Komputer

Pengertian
Pengauditan (auditing) adalah proses sistematik atas pemerolehan dan pengevaluasian bukti
mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan
seberapa baik kesesuaiannya dengan kriteria yang ditetapkan. Hasil dari audit kemudian
dikomunikasikan ke pihak-pihak yang berkepentingan.
Dalam mengembangangkan rekomendasi, auditor menggunakan kriteria yang ditetapkan,
seperti prinsip-prinsip pengendalian yang dijelaskan di bab-bab sebelumnya, sebagai sebuah
dasar untuk evaluasi. Perusahaan-perusahaan public mempekerjakan auditor eksternal untuk
memberikan sebuah tinjauan independen atas laporan keuangan mereka.
Pengauditan internal (internal auditing) adalah sebuah aktivitas independen, menjamin
objektivitas serta konsultasi yang didesain untuk menambah nilai serta meningkatan
efektivitas dan efesiensi organisasi, termasuk membantu dalam desain dan implementasi dari
sebuah SIA.
Jenis-jenis audit internal :
1. Audit keuangan (financial audit) memeriksa keterandalan dan integritas dari transaksi-
transaksi keuangan, catatan akuntansi, dan laporan keuangan.
2. Sistem informal (information system), atau audit pengendalian internal (internal
control audit) memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya
dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan
aset.
3. Audit operasional (operational audit) berkaitan dengan penggunaan secara ekonomis
dan efesien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
4. Audit kepatuhan (compliance audit) menentukan apakah entitas mematuhi hukum,
peraturan, kebijakan, dan prosedur yang berlaku.
5. Audit investigative (investigative audit) menguji kejadian-kejadian dari penipuan (fraud)
yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan
penyalahgunaan, atau aktivitas tata kelola yang buruk.
Para auditor eksternal mungkin memerlukan kemampuan khusus untuk :
1. Menentukan bagaimana audit akan dipengaruhi oleh IT,
2. Menilai dan mengevaluasi pengendalian IT, serta
3. Mendesain dan menjalankan baik pengujian atas pengendalian IT maupun pengujian
substantif.
Sifat Pengauditan
Tinjauan Menyeluruh Proses Audit dapat dibagi ke dalam empat tahap yaitu :
1. Perencanaan audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan
dilaksanakan. Langkah pertama adalah untuk menetapkan lingkup dan tujuan audit.
Sebuah tim audit dengan pengalaman dan keahlian yang sesuai kemudian dibentuk. Tim
ini menjadi terbiasa dengan pihak yang diaudit (auditee) dengan berbicara kepada
 personel pengawasan dan pengoperasian, memeriksa dokumentasi sistem, dan memeriksa
temuan-temuan audit sebelumnya.
Audit direncanakan, sehingga jumlah terbesar pekerjaan audit berfokus pada area
dengan faktor-faktor risiko tertinggi. Terdapat tiga jenis risiko audit :
1. Risiko bawaan (inherent risk) adalah kelemahan terhadap risiko material karena
tidak tersedianya pengendalian internal.
2. Risiko pengendalian (control risk) adalah risiko saat suatu salah saji material
akan melampaui struktur pengendalian internal ke dalam laporan keuangan.
3. Risiko deteksi (detection risk) adalah risiko saat para auditor dan prosedur
auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji yang material.
2. Pengumpulan bukti audit
Banyak pengujian audit tidak dapat dilakukan pada seluruh hal yang diperiksa, pengujian-
pengujian tersebut biasanya dilakukan pada basis sampel. Berikut adalah cara-cara yang
paling umum untuk mengumpulkan bukti audit :
 Observasi atas aktivitas-aktivitas yang diaudit
 Pemeriksaan atas dokumentasi
 Diskusi dengan para pegawai
 Kuesioner untuk pengumpulan data
 Pemeriksaan fisik atas kuantitas dan/atau kondisi dari asset berwujud
 Konfirmasi (confirmation) atas ketepatan informasi
 Melakukan ulang (reperformance) atas penghitungan
 Pemeriksaan bukti pendukung (vouching) untuk validitas dari sebuah transaksi
 Tinjauan analisi (analytical review) atas hubungan dan trend antar-informasi
3. Evaluasi atas bukti audit
Menentukan materialitas (materiality), apa yang penting dan tidak penting dalam audit,
adalah sebuah masalah pertimbangan profesional.
Auditor mencari penjaminan memadai (reasonable assurance) bahwa tidak ada
kesalahan material yang ada dalam informasi atau proses yang diaudit. Oleh karena untuk
mencari penjaminan penuh memerlukan biaya yang sangat mahal, auditor memiliki
beberapa risiko bahwa kesimpulan auditnya salah. Ketika risiko bawaan atau
pengendaliannya tinggi, auditor harus mendapatkan penjaminan yang lebih besar untuk
mengimbangi ketidakpastian dan risiko yang lebih besar.
4. Komunikasi hasil audit
Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan
rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang
berkepentingan.
5. Pendekatan audit berbasis-risiko
Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasis-
risiko, memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
Ini adalah sebuah daftar dari penyalahgunaan dan perusakan yang secara kebetulan
atau disengaja pada sistem terbuka.
2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau
memperbaiki ancaman. Hal tersebut adalah seluruh pengendalian yang harus
dipertimbangkan manajemen dan yang harus diperiksa, diuji oleh auditor, untuk
meminimalkan ancaman.
 3. Mengevaluasi prosedur pengendalian. Pengendalian dievaluasi dalam dua cara:
a. Sebuah tinjauan sistem (system review) menentukan apakah prosedur
pengendalian benar-benar dilaksanakan.
b. Uji pengendalian (test of control) dilakukan untuk menentukan apakah
pengendalian yang ada berjalan seperti yang dikehendaki.
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam
jenis, waktu, atau tingkatan prosedur pengauditan. Jika auditor menentukan bahwa
risiko pengendalian terlalu tinggi karena sistem pengendalian tidak memadai, auditor
mungkin harus mengumpulkan lebih banyak bukti, bukti yang lebih baik, atau bukti
yang lebih tepat waktu. Kelemahan pengendalian dalam satu area mungkin dapat
diterima jika terdapat pengendalian kompensasi (compensating control) dalam area
lainnya.
Audit Sistem Informasi
Tujuan dari sebuah audit sistem informasi adalah untuk meemriksa dan mengevaluasi
pengendalian internal yang melindungi sistem. Ketika melakukan sebuah audit sistem
informasi, para auditor seharusnya memastikan bahwa enam tujuan berikut telah dicapai.
1. Ketentuan keamanan untuk melindungi peralatan computer, program, komunikasi,
dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
2. Pengembangan dan akuisisi program dilakukan sesuai dengn otorisasi umum dan
spesifikasi manajemen.
3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan
lengkap.
5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasi dan
ditangani berdasarkan kebijakan manajerial yang telah ditentukan.
6. File-file data komputer tepat, lengkap, dan rahasia.

TUJUAN 1 : KEAMANAN SECARA MENYELURUH

Prosedur pengendalian untuk meminimalkan ancaman-ancaman tersebut termasuk
pengembangan sebuah rencana keamanan/perlindungan informasi, pembatasan akses fisik
dan logis, pengenkripsian data, perlindungan terhadap virus, penerapan firewall,
pembentukan pengendalian pengiriman data, serta pencegahan dan pemulihan dari kegagalan
sistem atau bencana.
Prosedur tinjauan sistem meliputi memeriksa dengan saksama pada situs komputer;
mewawancarai personel; meninjau kebijakan dan prosedur; serta memeriksa log akses,
kebijakan asuransi, dan rencana pemulihan bencana.
Para auditor memeriksa pengendalian keamanan dengan mengamati prosedur,
memverifikasi bahwa pengendalian dilaksanakan dan bekerja sesuai yang dikehendaki,
menyelidiki kesalahan atau masalah untuk memastikan mereka ditangani dengan benar, dan
memeriksa segala pengujian yang dilakukan sebelumnya.
TUJUAN 2 : PENGEMBANGAN PROGRAM DAN AKUISISI
Peran auditor dalam pengembangan sistem sebaiknya sebatas pada pemeriksaan
independen atas aktivitas-aktivitas pengembangan sistem. Untuk menjaga objektivitas,
auditor tidak diperbolehkan membantu pengembangan sistem.
Dua hal yang dapat menjadi kesalahan dalam pengembangan program: (1) kelalaian
pemograman yang berkaitan dengan kurangnya pemahaman tentang spesifikasi sistem atau
pemograman yang teledor, dan (2) instruksi yang tidak diotorisasi dengan sengaja disisipkan
ke dalam program.
Untuk menguji pengendalian pengembangan sistem, para auditor harus
mewawancarai para manajer dan pengguna sistem, menguji persetujuan pengembangan, dan
memeriksa catatan pertemuan tim pengembangan. Auditor harus memeriksa seluruh
dokumentasi terkait proses pengujian untuk memastikan semua perubahan program telah
diuji. Auditor dapat menguji spesifikasi pengujian, data pengujian, dan mengevaluasi hasil
pengujian, serta memastikan bagaimana masalah-masalah hasil pengujian tak terduga dapat
diatasi.
Pengendalian pemrosesan yang kuat mungkin dapat mengimbangi pengendalian
pengembangan yang tidak memadai jika auditor mendapatkan bukti persuasif atas kepatuhan
dengan pengendalian pemrosesan, menggunakan teknik-teknik seperti pengolahan data
pengujian independen. Jika bukti ini tidak didapatkan, auditor mungkin harus menyimpulkan
bahwa terdapat sebuah kelemahan pengendalian internal yang material dan risiko atas
ancaman signifikan dalam program aplikasinya tinggi.
TUJUAN 3 : MODIFIKASI PROGRAM
Ketika sebuah perubahan program disampaikan untuk memperoleh persetujuan,
sebuah daftar atas seluruh perbaruan yang diperlukan harus dikumpulkan serta disetujui oleh
manajemen dan pengguna program. Seluruh perubahan program harus diuji dan
didokumentasikan. Selama proses perubahan, program pengembangan harus dipisahkan dari
versi produksinya. Setelah program yang dimodifikasi disetujui, versi produksi menggantikan
versi pengembangan.
Para auditor harus menguji program secara mendadak untuk menjaganya dari seorang
pegawai yang menyisipkan perubahan-perubahan program yang tidak diotorisasi setelah audit
diselesaikan dan menghapuskan perubahan tersebut sebelum ke audit selanjutnya. Terdapat
tiga cara auditor untuk menguji perubahan program yang tidak diotorisasi:
1. Setelah menguji sebuah program baru, auditor menyimpan salinan dari kode sumbernya.
Auditor menggunakan sebuah program perbandingan kode sumber (source code
comparison program) untuk mebandingkan versi terkini dari program dengan kode
sumber.
2. Dalam teknik pemrosesan ulang (reprocessing), auditor memproses ulang data
menggunakan kode sumber dan membandingkan output-nya dengan output perusahaan.
Perbedaan yang terdapat dalam output diselidiki.
3. Dalam simulasi paralel (parallel simulation), auditor menuliskan sebuah program
bukannya menggunakan kode sumber, membandingkan output, dan menyelidiki segala
 perbedaan. Simulasi paralel dapat digunakan untuk menguji sebuah program selama
proses implementasi.
TUJUAN 4 : PEMROSESAN KOMPUTER
Selama pemrosesan komputer, sistem mungkin gagal mendeteksi input yang salah,
tidak memperbaiki kesalahan input dengan benar, memproses input yang salah, atau tidak
mendistribusikan atau mengungkapkan output dengan tepat.
Para auditor secara periodik mengevaluasi ulang pengendalian pemrosesan untuk
memastikan keterandalan berlanjutnya. Jika mereka tidak puas, pengendalian pengguna dan
data sumber mungkin cukup kuat untuk mengimbangi. Jika tidak, terdapat sebuah kelemahan
material, dan langkah-langkah harus diambil untuk mengeliminasi kekurangan pengendalian.
1. Pengolahan data pengujian
Satu cara untuk menguji sebuah program adalah memproses satu set hipotesis atas
transaksi yang valid dan tidak valid. Program tersebut seharusnya memproses seluruh
transaksi valid dengan benar dan menolak semua yang tidak valid. Seluruh path logis
harus dicek dengan satu atau lebih transaksi-transaksi pengujian. Data yang tidak valid
termasuk catatan dengan data yang hilang, field-field yang memuat jumlah besar yang
tidak rasional, nomor akun atau kode pemrosesan yang tidak valid, data nonnumerik
dalam field numerik, dan catatan yang di luar urutan.
Sumber daya berikut ini berguna ketika mempersiapkan pengujian data.
 Sebuah dafar atas transaksi-transaksi aktual.
 Transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program.
 Sebuah tes pembuatan data (test data generator), yang menyiapkan data pengujian
berdasarkan spesifikasi program.
2. Teknik-teknik audit bersamaan
Para auditor menggunakan teknik audit bersamaan (concurrent audit techniques) untuk
secara terus – menerus mengawasi sistem dan mengumpulkan bukti-bukti audit sementara
data asli (live data) diproses selama jam pengoperasian reguler. Teknik-teknik audit
bersama menggunakan modul audit yang dilekatkan (embedded audit modules), yang
merupakan segmen kode program yang menjalankan fungsi audit, melaporkan hasil
pengujian, dan menyimpan bukti yang dikumpulkan untuk tinjauan auditor. Teknik-
teknik audit bersamaan merupakan teknik yang merupakan waktu dan sulit digunakan
namun tidak akan demikian bila digabungkan saat program dikembangkan.
Para auditor biasanya menggunakan lima teknik audit bersama sebagai berikut.
1. Sebuah integrated test facility (ITF) menyisipkan catatan-catatan fiktif yang
merepresentasikan divisi, departemen, pelanggan, atau pemasok fiktif dalam file
induk perusahaan.
2. Dalam teknik snapshot (snapshot technique), transaksi-transaksi yang terpilih
ditandai dengan sebuah kode khusus. Modul audit mencatat transaksi-transaksi
tersebut beserta catatan file induknya sebelum dan sesudah pemrosesan dan
menyimpan data dalam sebuah file khusus. Auditor memeriksa data untuk
memverifikasi bahwa seluruh tahapan pemrosesan dieksekusi dengan layak.
3. System control audit review file (SCARF) menggunakan modul audit yang
dilekatkan untuk terus-menerus mengawasi aktivitas transaksi, mengumpulkan data
 dalam transaksi dengan signifikansi audit khusus, serta menyimpannya dalam sebuah
file SCARF atau log audit (audit log).
4. Audit hooks adalah rutinitas audit yang yang memberitahu para auditor atas transaksi-
transaksi yang dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi.
5. Continuous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam
sebuah sistem manajemen database (database management system – DBMS) yang
menguji seluruh transaksi yang memperbarui database menggunakan kriteria yang
serupa dengan SCARF. Jika sebuah transaksi memiliki signifikansi audit, modul CIS
secara independen mengolah data (dalam cara yang serupa dengan simulasi paralel),
mencatat hasilnya, dan membandingkannya dengan yang diperoleh melalui DBMS.
Ketika terdapat ketidaksesuaian, perbedaan-perbedaan tersebut disimpan dalam
sebuah log audit untuk investigasi lanjutan. Jika perbedaannya serius, CIS dapat
mencegah DBMS untuk melaksanakan update.
3. Analisis atas logika program
Analisis ini membutuhkan banyak waktu dan kecakapan dalam bahasa pemrograman
yang sesuai, sehingga analisis ini sebaiknya digunakan sebagai langkah terakhir. Para
auditor menganalisis pengembangan, pengoperasian, dan pendokumentasian program
demikian juga pada cetakan dari kode sumber. Auditor juga menggunakan paket-paket
perangkat lunak berikut:
 Program bagan alir otomatis (automated flowcharting program) mengartikan
kode sumber dan menghasilkan sebuah bagan alir program.
 Program table keputusan otomatis (automated decision table program)
mengartikan kode sumber dan menghasilkan sebuah table keputusan.
 Rutinitas pemindaian (scanning routines) mencari sebuah program untuk
seluruh kejadian atas komponen-komponen tertentu.
 Program pemetaan (mapping program) mengidentifikasi kode program yang
tidak dilaksanakan. Perangkat lunak ini dapat menemukan kode program yang
disisipkan oleh seorang pemrogram jahat untuk menghapus seluruh file komputer
ketika ia diberhentikan.
 Penelusuran program (program tracing) secara berurutan mencetak seluruh
langkah-langkah program yang dilakukan ketika sebuah program berjalan,
bercampur dengan output reguler, sehingga urutan kejadian yang dijalankan
program dapat diamati. Penelusuran program membantu mendeteksi perintah
program yang tidak diotorisasi, path logika yang salah, dan kode program yang
tidak dilakukan.

TUJUAN 5 : DATA SUMBER

Sebuah matriks pengendalian input digunakan untuk mendokumentasikan

pemeriksaan atas pengendalian data sumber. Fungsi pengendalian data harus independen
(bebas) dari fungsi lainnya, melindungi sebuah log pengendalian data, menangani kesalahan,
dan memastikan keseluruhan efisiensi dari operasi. Secara ekonomis biasanya tidak
memungkinkan bagi bisnis kecil untuk memiliki sebuah fungsi pengendalian data
independen.
TUJUAN 6 : FILE DATA

Tujuan keenam memperhatikan tentang ketepatan, integritas, dan keamanan atas data
yang disimpan dalam file yang dapat dibaca mesin. Pendekatan pengauditan-dengan-tujuan
adalah sebuah upaya yang komprehensif, sistematik, dan efektif atas evaluasi pengendalian
internal.

Perangkat Lunak Audit

Computer – assisted audit techniques (CAATs) mengacu pada perangkat lunak

audit, sering disebut sebagai generalized audit software (GAS), yang menggunakan
spesifikasi yang disediakan auditor untuk menghasilkan sebuah program untuk menjalankan
fungsi audit,sehingga akan mengotomatiskan atau menyederhanakan proses audit. Dua dari
perangkat lunak yang paling populer adalah Audit Control Language (ACL) dan Interactive
Data Extraction and Analysis (IDEA).

Untuk menggunakan CAATs, para auditor memutuskannya berdasarkan tujuan audit,

mempeljari tentang file dan database yang diaudit, mendesain laporan audit, dan menentukan
bagaimana menghasilkannya. Informasi ini dicatat dalam lembar spesifikasi dan dimasukkan
ke sistem. Program CAATs menggunakan spesifikasi untuk menghasilkan sebuah program
pengauditan. Program tersebut menggunakan sebuah salinan atas data asli (live data) milik
perusahaan (untuk menghindari adanya kesalahan) dalam melakukan prosedur-prosedur
pengauditan dan menghasilkan laporan audit tertentu. CAATs tidak dapat menggantikan
pertimbangan auditor atau membebaskan auditor dari fase-fase audit lainnya.

CAATs akan sangat bernilai bagi peruahaan-perusahaan yang memiliki proses rumit,
operasi terdistribusi, volume transaksi tinggi, atau memiliki banyak jenis aplikasi dan sistem.

Berikut adalah beberapa penggunaan yang lebih penting atas CAATs.

 Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu.
 Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file.
 Merangkum, menyortir, dan menyaring data.
 Mengakses data dalam format yang berbeda dan mengubah data ke dalam sebuah
format umum.
 Menguji catatan-catatan atas kualitas, kelengkapan, konsistensi, dan kebenaran.
 Membagi catatan berdasarkan tingkatan, memilih dan menganalisis sampel
statistis.
 Pengujian atas risiko tertentu dan mengidentifikasi bagaimana pengendalian atas
risiko tersebut.
 Melakukan penghitungan, analisis statistis, dan operasi matematis lainnya.
 Melakukan pengujian analitis, seperti analisis rasio dan tren, mencari pola data
yang tidak diduga atau tidak dijelaskan yang mungkin mengindikasikan penipuan.
 Mengidentifikasi kebocoran finansial, ketidakpatuhan atas kebijakan, dan
kesalahan pengolahan data.
 Merekonsiliasi perhitungan fisik dengan jumlah yang dikomputasi, menguji
ketepatan kasir atas perluasan dan saldo, menguji item-item salinan.
  Memformat serta mencetak laporan dan dokumen.
 Membuat kertas kerja elektronik.

Audit Operasional SIA

Teknik dan prosedur yang digunakan dalam audit operasional serupa dengan audit
atas sistem informasi dan laporan keuangan. Sebagai tambahan, tujuan dari audit operasional
termasuk mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan.

Langkah pertama dalam audit operasional adalah perencanaan audit, pada suatu waktu
saat lingkup dan tujuan audit ditetapkan, sebuah persiapan tinjauan sistem dilakukan, dan
sebuah program audit tentative disiapkan. Langkah selanjutnya, pengumpulan bukti,
termasuk aktivitas-aktivitas sebagai berikut.

 Memeriksa kebijakan dan dokumentasi pengoperasian

 Mengonfirmasi prosedur-prosedur dengan manajemen dan personel pengoperasian
 Mengobservasi fungsi-fungsi dan aktivitas-aktivitas pengoperasian
 Menguji ketepatan atas informasi pengoperasian
 Menguji pengendalian

Pada tahap pengevaluasian bukti auditor mengukur sistem terhadap salah satu sistem
yang mengikuti prinsip-prinsip manajemen paling terbaik. Satu pertimbangan terpenting
adalah bahwa hasil dari kebijakan dan praktik manajemen lebih signifikan dibandingkan
kebijakan dan praktik itu sendiri.

Auditor operasional yang ideal memiliki pelatihan dan pengalaman audit juga
pengalaman beberapa tahun dalam sebuah posisi manajerial. Auditor dengan latar belakang
pengauditan kuat, tetapi pengalaman manajerialnya lemah biasanya memiliki kekurangan
terkait perspektif yang diperlukan untuk memahami proses manajemen.