I. Pendahuluan
Pengauditan adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi
tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria
yang ditetapkan. Hasil audit kemudian dikomunikasikan ke pihak-pihak berkepentingan.
Pengauditan internal adalah sebuah aktivitas independen, menjamin objektivitas serta konsultasi yang
didesain untuk menambah nilai serta meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu
dalam desain dan implemntasi dari sebuah SIA. Pengauditan internal membantu sebuah organisasi mencapai
tujuannya dengan mengadakan sebuah pendekatan yang sistematis dan disiplin untuk mengevaluasi serta
meningkatkan efektivitas dari proses manajemen, pengendalian, dan tata kelola risiko.
Ada beberapa jenis berbeda dari audit internal:
1. Sebuah audit keuangan memeriksa keterandalan dan integritas dari transaksi-transaksi keuangan,
catatan akuntansi, dan laporan keuangan.
2. Sebuah sistem informasi, atau audit pengendalian internal memeriksa pengendalian dari sebuah SIA
untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas
dalam pengamanan asset.
3. Sebuah audit operasional berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber
daya dan pencapaian tujuan serta sasaran yang ditetapkan.
4. Sebuah audit kepatuhan menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan
prosedur yang berlaku.
5. Sebuah audit investigasi menguji kejadian-kejadian dari penipuan yang mungkin terjadi, penggunaan
asset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk.
Sebaliknya auditor eksternal bertanggung jawaba pada para pemegang saham perusahaan dan biasanya
berkaitan dengan pengumpulan bukti yang diperlukan untuk menyatakan sebuah opini pada laporan keuangan.
Para auditor eksternal mungkin memerlukan kemampuan khusus untuk (1) menentukan bagaimana audit akan
dipengaruhi oleh TI, (2) menilai dan mengevaluasi pengendalian TI, serta (3) mendesain dan menjalankan baik
pengujian atas pengendalian TI maupun pengujian substantive.
Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer
Audit dirancanakan, sehingga jumlah terbesar pekerjaan audit berfokus pada area dengan
faktor-faktor risiko tertinggi. Terdapat tiga jenis risiko audit:
Risiko Bawaan adalah kelemahan terhadap risiko material karena tidak tersedianya pengendalian
internal.
Risiko pengendalian adalah risiko saat suatu salah saji material akan melampaui struktur
pengendalian internal ke dalam laporan keuangan. Sebuah perusahaan dengan pengendalian
internal yang lemah memiliki risiko pengendalian yang lebih tinggi dibandingkan perusahaan
dengan pengendalian yang kuat. Risiko pengendalian dapat ditentukan dengan meninjau
lingkungan pengendalian, menguji pengendalian internal, dan mempertimbangkan kelemahan-
kelemahan pengendalian yang diidentifikasi dalam audit sebelumnya serta mengevaluasi
bagaimana diperbaiki.
Risiko Deteksi adalah risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi
sebuah kesalahan atau salah saji yang material.
2. Pengumpulan Bukti Audit
Sebagian besar upaya audit untuk mengumpulkan bukti. Berikut adalah cara-cara yang paling
umum untuk mengumpulkan bukti audit:
Observasi atas aktivitas-aktivitas yang diaudit;
Pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau sistem
pengendalian internal tertentu harusnya berfungsi;
Diskusi dengan para pegawai mengenai pekerjaan mereka;
Kuesioner untuk mengumpulkan data;
Pemeriksaan fisik atas kuantitas dan/atau kondisi dari asset berwujud;
Konfirmasi atas ketepatan informasi;
Melakukan ulang atas penghitungan untuk memverifikasi informasi kuantitatif;
Pemeriksaan bukti pendukung untuk validitas dari sebuah transaksi dengan memeriksa dokumen
pendukung;
Tinjauan analitis atas hubungan dan trend antar-informasi untuk mendeteksi hal-hal yang
seharusnya diselidiki lebih jauh.
Sebuah audit khusus biasanya memiliki gabungan prosedur audit.
3. Evaluasi atas Bukti Audit
Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti tersebut
mendukung kesimpulan yang menguntungkan atau tidak. Menentukan materialitas, apa yang
penting dan tidak penting dalam audit, adalah sebuah masalah pertimbangan professional .
Auditor mencari penjaminan memadai bahwa tidak ada kesalahan material yang ada dalam
informasi atau proses yang diaudit. Dalam seluruh tahapan audit, temuan dan kesimpulan
didokumentasikan dalam kertas kerja audit.
Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer
Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer
perlindungan terhadap virus, penerapan firewall, pembentukan pengendalian pengiriman data, serta
pencegahan dan pemulihan dari kegagalan sistem atau bencana.
Para auditor memeriksa pengendalian keamanan dengan mengamati prosedur, memverifikasi bahwa
pengendalian dilaksanakan dan bekerja sesuai yang dikehendaki, menyelidiki kesalahan atau masalah
untuk memastikan mereka ditangan dengan benar dan memeriksa segala pengujian yang dilakukan
sebelumnya.
B. Tujuan 2: Pengembangan Program dan Akuisisi
Peran auditor dalam pengembangan sistem sebaiknya sebatas pada pemeriksaan independen atas
aktivitas-aktivitas pengembangan sistem.
Dua hal yang dapat menjadi kesalahan dalam pengembangan program: (1) kelalaian pemrograman
yang berkaitan dengan kurangnya pemahaman tentang spesifikasi sistem atau pemrograman yang teledor,
dan (2) instruksi yang tidak diotorisasi dengan sengaja disisipkan ke dalam program.
Untuk menguji pengendalian pengembangan sistem, para auditor harus mewawancarai para manajer
dan pengguna sistem, menguji persetujuan pengembangan, dan memeriksa catatan pertemuan tim
pengembangan.
Pengendalian pemrosesan yang kuat mungkin dapat mengimbangi pengendalian pengembangan yang
tidak memadai jika auditor mendapatkan bukti persuasif atas kpatuhan dengan pengendalian pemrosesan,
menggunakan teknik-teknik seperti pengelolah dan pengujian independen.
C. Tujuan 3: Modifikasi Program
Ancaman-ancaman yang terjadi dalam pengembangan program juga dapat terjadi selam modifikasi
program.Ketika sebuah perubahan program disampaikan untuk memperoleh persetujuan, sebuah daftar
atas seluruh perbaruan yang diperlukan harus dikumpulkan serta disetujui oleh manajemen dan pengguna
program.
Selama tinjauan sistem, para auditor harus mendiskusikan proses perubahan dengan manajemen dan
personel pengguna. Kebijakan, prosedur, dan standar untuk menyetujui, memodifikasi, menguji, dan
mendokumentasi perubahan harus diuji.
Bagian penting dari pengujian pengendalian adalah memverifikasi bahwa perusahaan program telah
diidentifikasi, didaftar, disetujui, diuji, dan didokumentasikan.Auditor seharusnya memverifikasi bahwa
pemisahan pengembangan dan produksi program dipelihara serta perubahan-perubahan
diimplementasikan oleh seseorang yang independen atas fungsi pengguna dann pemrograman.
Terdapat tiga cara auditor untuk menguji perubahan program yang tidak diotorisasi:
1. Setelah menguji sebuah program baru, auditor menyimpan salinan dari kode sumbernya. Auditor
menggunakan sebuah program perbandingan kode sumber untuk membandingkan versi terkini dari
program dengan kode sumber.
2. Dalam teknik pemrosesan ulang, auditor memproses ulang data menggunakan kode sumber dan
membandingkan output-nya dengan output perusahaan.
Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer
3. Dalam simulasi paralel, auditor menuliskan sebuah program bukannya menggunakan kode
sumber, membandingkan output, dan menyelidiki segala perbedaan.
D. Tujuan 4: Pemrosesan Komputer
Selama pemrosesan computer, sistem mungkin gagal mendeteksi input yang salah, tidak memperbaiki
kesalahan input dengan benar, memproses input yang salah, atau tidak mendistribusikan atau
mengungkapkan output dengan tepat.
Para auditor secara periodic mengevaluasi ulang pengendalian pemrosesan untuk memastikan
keterandalan berlanjutnya.Beberapa teknik khusus digunakan untuk menguji pengendalian pemrosesan,
masing-masing memiliki kelebihan dan kekurangannya sendri.
1. Pengolahan data Pengujian
Satu cara untuk menguji sebuah program adalah memproses satu set hipotesis atas transaksi yang
valid dan tidak valid.Sumber daya berikut ini berguna ketika mempersiapkan pengujian data.
Sebuah daftar atas transaksi-transaksi aktual;
Transaksi-tranaksi pengujian yang digunakan perusahaan untuk menguji program;
Sebuah tes pembuatan data, yang menyiapkan data pengujian berdasarkan spesifikasi program.
Dalam sebuah sistem pemrosesan batch, program perusahaan dan salinan atas file-file yang
relevan digunakan untuk mengolah data pengujian.
Dalam sebuah sistem online, para auditor memasukkan data pengujian dan kemudian mengamati
serta mencatat respon sistem.
Pemrosesan transaksi pengujian memiliki dua kelemahan.Pertama, auditor harus menghabiskan
waktu yang cukup banyak untuk memahami sistem dan menyiapkan transaksi-transaksi
pengujian.Kedua, auditor harus memastikan bahwa data pengujian tidak memengaruhi file dan
database perusahaan.
2. Teknik-Teknik Audit Bersamaan
Oleh karena transaksi-transaksi dapat diproses dalam sistem online tanpa meninggalkan jejak audit,
maka bukti yang dikumpulkan setelah data diproses tidaklah cukup untuk tujuan audit.Oleh karena itu,
teknik audit bersamaan untuk secara terus-menerus mengawasi sistem dan mengumpulkan bukti-bukti
audit sementara data asli diproses selama jam pengoperasian regular.
Teknik-teknik audit bersama menggunakan modul audit yang diletakkan, yang merupakan segmen
kode program yang menjalankan fungsi audit, melaporkan hasil pengujian, dan menyimpan bukti yang
dikumpulkan untuk tinjauan auditor.
Para auditor biasanya menggunakan lima teknik audit bersama sebagai berikut.
a) Sebuah integrated tes facility (ITF) menyisipkan catatan-catatan fiktif yang merepresentasikan
divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan. Memproses
transaksi-transaksi pengujian untuk memperbaruinya tidak akan memengaruhi catatan aktual.
b) Dalam teknik snapshot, transaksi-transaksi yang terpilih ditandai dengan sebuah kode khusus.
Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer
c) System control audit review file (SCARF) menggunakan modul audit yang dilekatkan untuk terus-
menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi dengan signifikansi
audit khusu, serta menyimpannya dalam sebuah file SCARF atau log audit.
d) Audit hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang
dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi.
e) Continuous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam sebuah sistem
manajemen database yang menguji seluruh transaksi yang memperbarui database menggunakan
kriteria yang serupa dengan SCARF.
3. Analisis atas Logika Program
Jika para auditor mencurigai bahwa sebuah program memuat kode yang tidak diotorisasi atau
kesalahan serius, sebuah analisis mendetail atas logika program mungkin diperlukan.
Auditor juga menggunakan paket-paket perangkat lunak berikut:
Program bagan alir otomatis mengartikan kode sumber dan menghasilkan sebuah bagan alir
program.
Program table keputusan otomatis mengartikan kode sumber dan menghasilkan sebuah table
keputusan.
Rutinitas pemindaian mencari sebuah program untuk seluruh kejadian atas komponen-komponen
tertentu.
Program pemetaan mengidentifikasi kode program yang tidak dilaksanakan.
Penelusuran program secara berurutan mencetak seluruh langkah-langkah program yang dilakukan
ketika sebuah program berjalan, bercampur dengan output regular, sehingga urutan kejadian yang
dijalankan program dapat diamati .
E. Tujuan 5: Data Sumber
Sebuah matriks pengendalian input digunakan untuk mendokumentasikan pemeriksaan atas
pengendalian data sumber. Matriks pengendalian input merupakan sebuah matriks yang menunjukkan
prosedur-prosedur pengendalian yang diterapkan pada setiap field catatan input: digunakan untuk
mendokumentasikan pemeriksaan atas pengendalian data sumber.Fungsi pengendalian data harus
independen dari fungsi lainnya, melindungi sebuah log pengendalian data, menangani kesalahan, dan
memastikan keseluruhan efisiensi dari operasi.
Meskipun pengendalian data sumber mungkin tidak sering mengalami perubahan, seberapa ketatnya
pengendalian tersebut diterapkan dapat berubah, para auditor harus secara teratur mengujinya.
F. Tujuan 6: File Data
Tujuan keenam memperhatikan tentang ketepatan, integritas, dan keamanan atas data yang disimpan
dalam file yang dapat dibaca mesin.Pendekatan pengauditan dengan tujuan adalah sebuah upaya yang
komprehensif, sistematik, dan efektif atas evaluasi pengendalian internal. Pendekatan ini dapat
diimplementasikan menggunakan sebuah checklist prosedur audit bagi setiap tujuan.
Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer
Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer
Reza Yandripano/A31115725