Bab 11Pengauditan Sistem Informasi Berbasis Komputer

I. Pendahuluan
Pengauditan adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi
tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria
yang ditetapkan. Hasil audit kemudian dikomunikasikan ke pihak-pihak berkepentingan.
Pengauditan internal adalah sebuah aktivitas independen, menjamin objektivitas serta konsultasi yang
didesain untuk menambah nilai serta meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu
dalam desain dan implemntasi dari sebuah SIA. Pengauditan internal membantu sebuah organisasi mencapai
tujuannya dengan mengadakan sebuah pendekatan yang sistematis dan disiplin untuk mengevaluasi serta
meningkatkan efektivitas dari proses manajemen, pengendalian, dan tata kelola risiko.
Ada beberapa jenis berbeda dari audit internal:
1. Sebuah audit keuangan memeriksa keterandalan dan integritas dari transaksi-transaksi keuangan,
catatan akuntansi, dan laporan keuangan.
2. Sebuah sistem informasi, atau audit pengendalian internal memeriksa pengendalian dari sebuah SIA
untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas
dalam pengamanan asset.
3. Sebuah audit operasional berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber
daya dan pencapaian tujuan serta sasaran yang ditetapkan.
4. Sebuah audit kepatuhan menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan
prosedur yang berlaku.
5. Sebuah audit investigasi menguji kejadian-kejadian dari penipuan yang mungkin terjadi, penggunaan
asset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk.
Sebaliknya auditor eksternal bertanggung jawaba pada para pemegang saham perusahaan dan biasanya
berkaitan dengan pengumpulan bukti yang diperlukan untuk menyatakan sebuah opini pada laporan keuangan.
Para auditor eksternal mungkin memerlukan kemampuan khusus untuk (1) menentukan bagaimana audit akan
dipengaruhi oleh TI, (2) menilai dan mengevaluasi pengendalian TI, serta (3) mendesain dan menjalankan baik
pengujian atas pengendalian TI maupun pengujian substantive.

II. Sifat Pengauditan

A. Tinjauan Menyeluruh Proses Audit
Seluruh audit mengikuti urutan aktivitas yang serupa. Audit dapat dibagi ke dalam tahap: perencanaan,
pengumpulan bukti, pengevaluasian bukti, dan pengomunikasian hasil audit.
1. Perencanaan Audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan
dilaksanakan. Langkah pertama adalah menetapkan lingkup dan tujuan audit. Sebuah tim audit
dengan pengalaman dan keahilian yang sesuai kemudian dibentuk. Tim ini menjadi terbiasa dengan
pihak yang diaudit dengan berbicara kepada personel pengawasan dan pengoperasian, memeriksa
dokumentasi sistem, dan memeriksa temuan-temuan audit sebelumnya.

Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer

Audit dirancanakan, sehingga jumlah terbesar pekerjaan audit berfokus pada area dengan
faktor-faktor risiko tertinggi. Terdapat tiga jenis risiko audit:
 Risiko Bawaan adalah kelemahan terhadap risiko material karena tidak tersedianya pengendalian
internal.
 Risiko pengendalian adalah risiko saat suatu salah saji material akan melampaui struktur
pengendalian internal ke dalam laporan keuangan. Sebuah perusahaan dengan pengendalian
internal yang lemah memiliki risiko pengendalian yang lebih tinggi dibandingkan perusahaan
dengan pengendalian yang kuat. Risiko pengendalian dapat ditentukan dengan meninjau
lingkungan pengendalian, menguji pengendalian internal, dan mempertimbangkan kelemahan-
kelemahan pengendalian yang diidentifikasi dalam audit sebelumnya serta mengevaluasi
bagaimana diperbaiki.
 Risiko Deteksi adalah risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi
sebuah kesalahan atau salah saji yang material.
2. Pengumpulan Bukti Audit
Sebagian besar upaya audit untuk mengumpulkan bukti. Berikut adalah cara-cara yang paling
umum untuk mengumpulkan bukti audit:
 Observasi atas aktivitas-aktivitas yang diaudit;
 Pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau sistem
pengendalian internal tertentu harusnya berfungsi;
 Diskusi dengan para pegawai mengenai pekerjaan mereka;
 Kuesioner untuk mengumpulkan data;
 Pemeriksaan fisik atas kuantitas dan/atau kondisi dari asset berwujud;
 Konfirmasi atas ketepatan informasi;
 Melakukan ulang atas penghitungan untuk memverifikasi informasi kuantitatif;
 Pemeriksaan bukti pendukung untuk validitas dari sebuah transaksi dengan memeriksa dokumen
pendukung;
 Tinjauan analitis atas hubungan dan trend antar-informasi untuk mendeteksi hal-hal yang
seharusnya diselidiki lebih jauh.
Sebuah audit khusus biasanya memiliki gabungan prosedur audit.
3. Evaluasi atas Bukti Audit
Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti tersebut
mendukung kesimpulan yang menguntungkan atau tidak. Menentukan materialitas, apa yang
penting dan tidak penting dalam audit, adalah sebuah masalah pertimbangan professional .
Auditor mencari penjaminan memadai bahwa tidak ada kesalahan material yang ada dalam
informasi atau proses yang diaudit. Dalam seluruh tahapan audit, temuan dan kesimpulan
didokumentasikan dalam kertas kerja audit.

Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer

4. Komunikasi Hasil Audit

Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan
rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang
berkepentingan.
3. Pendekatan Audit Berbasis Risiko
Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasis risiko,
memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
a) Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan;
b) Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki
ancaman;
c) Mengevaluasi prosedur pengendalian. Pengendalian dievaluasi dalam dua cara:
1) Sebuah tinjauan sistem menentukan apakah prosedur pengendalian benar-benar
dilaksanakan.
2) Uji pengendalian dilakukan untuk menentukan apakah pengendalian yang ada berjalan
seperti yang dikehendaki.
d) Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau
tingkatan prosedur pengauditan. Kelemahan pengendalian dalam satu area mungkin dapat
diterima jika terdapat pengendalian kompensasi dalam area lainnya.
Pendekatan berbasis risiko memberikan para auditor sebuah pemahaman yang lebih jelas atas
penipuan dan kesalahan yang dapat terjadi serta risiko dan pengungkapan yang terkait.

III. Audit Sistem Informasi

Tujuan dari sebuah audit sistem informasi adalah untuk memeriksa dan mengevaluasi pengendalian
internal yang melindungi sistem. Ketika melakukan sebuah audit sistem informasi, para auditor seharusnya
memastikan bahwa enam tujuan berikut telah dicapai.
1. Ketentuan keamanan untuk melindungi peralatan computer, program, komunikasi, dan data-data dari
akses, modifikasi, atau penghancuran yang tidak diotorisasi.
2. Pengembanngan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan spesifikasi
manajemen.
3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file, laporan, catatan, dan catatan computer lainnya tepat dan lengkap.
5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasi dan ditangani
berdasarkan kebijakan manajerial yang telah ditentukan.
6. File-file data computer tepat, lengkap, dan rahasia.
A. Tujuan 1: Keamanan Secara Menyeluruh
Prosedur pengendalian untuk meminimalkan ancaman-ancaman termasuk pengembangan sebuah
rencana keamanan/perlindungan informasi, pembatasan akses fisik dan logis, pengenkripsian data,

Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer

perlindungan terhadap virus, penerapan firewall, pembentukan pengendalian pengiriman data, serta
pencegahan dan pemulihan dari kegagalan sistem atau bencana.
Para auditor memeriksa pengendalian keamanan dengan mengamati prosedur, memverifikasi bahwa
pengendalian dilaksanakan dan bekerja sesuai yang dikehendaki, menyelidiki kesalahan atau masalah
untuk memastikan mereka ditangan dengan benar dan memeriksa segala pengujian yang dilakukan
sebelumnya.
B. Tujuan 2: Pengembangan Program dan Akuisisi
Peran auditor dalam pengembangan sistem sebaiknya sebatas pada pemeriksaan independen atas
aktivitas-aktivitas pengembangan sistem.
Dua hal yang dapat menjadi kesalahan dalam pengembangan program: (1) kelalaian pemrograman
yang berkaitan dengan kurangnya pemahaman tentang spesifikasi sistem atau pemrograman yang teledor,
dan (2) instruksi yang tidak diotorisasi dengan sengaja disisipkan ke dalam program.
Untuk menguji pengendalian pengembangan sistem, para auditor harus mewawancarai para manajer
dan pengguna sistem, menguji persetujuan pengembangan, dan memeriksa catatan pertemuan tim
pengembangan.
Pengendalian pemrosesan yang kuat mungkin dapat mengimbangi pengendalian pengembangan yang
tidak memadai jika auditor mendapatkan bukti persuasif atas kpatuhan dengan pengendalian pemrosesan,
menggunakan teknik-teknik seperti pengelolah dan pengujian independen.
C. Tujuan 3: Modifikasi Program
Ancaman-ancaman yang terjadi dalam pengembangan program juga dapat terjadi selam modifikasi
program.Ketika sebuah perubahan program disampaikan untuk memperoleh persetujuan, sebuah daftar
atas seluruh perbaruan yang diperlukan harus dikumpulkan serta disetujui oleh manajemen dan pengguna
program.
Selama tinjauan sistem, para auditor harus mendiskusikan proses perubahan dengan manajemen dan
personel pengguna. Kebijakan, prosedur, dan standar untuk menyetujui, memodifikasi, menguji, dan
mendokumentasi perubahan harus diuji.
Bagian penting dari pengujian pengendalian adalah memverifikasi bahwa perusahaan program telah
diidentifikasi, didaftar, disetujui, diuji, dan didokumentasikan.Auditor seharusnya memverifikasi bahwa
pemisahan pengembangan dan produksi program dipelihara serta perubahan-perubahan
diimplementasikan oleh seseorang yang independen atas fungsi pengguna dann pemrograman.
Terdapat tiga cara auditor untuk menguji perubahan program yang tidak diotorisasi:
1. Setelah menguji sebuah program baru, auditor menyimpan salinan dari kode sumbernya. Auditor
menggunakan sebuah program perbandingan kode sumber untuk membandingkan versi terkini dari
program dengan kode sumber.
2. Dalam teknik pemrosesan ulang, auditor memproses ulang data menggunakan kode sumber dan
membandingkan output-nya dengan output perusahaan.

Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer

3. Dalam simulasi paralel, auditor menuliskan sebuah program bukannya menggunakan kode
sumber, membandingkan output, dan menyelidiki segala perbedaan.
D. Tujuan 4: Pemrosesan Komputer
Selama pemrosesan computer, sistem mungkin gagal mendeteksi input yang salah, tidak memperbaiki
kesalahan input dengan benar, memproses input yang salah, atau tidak mendistribusikan atau
mengungkapkan output dengan tepat.
Para auditor secara periodic mengevaluasi ulang pengendalian pemrosesan untuk memastikan
keterandalan berlanjutnya.Beberapa teknik khusus digunakan untuk menguji pengendalian pemrosesan,
masing-masing memiliki kelebihan dan kekurangannya sendri.
1. Pengolahan data Pengujian
Satu cara untuk menguji sebuah program adalah memproses satu set hipotesis atas transaksi yang
valid dan tidak valid.Sumber daya berikut ini berguna ketika mempersiapkan pengujian data.
 Sebuah daftar atas transaksi-transaksi aktual;
 Transaksi-tranaksi pengujian yang digunakan perusahaan untuk menguji program;
 Sebuah tes pembuatan data, yang menyiapkan data pengujian berdasarkan spesifikasi program.
Dalam sebuah sistem pemrosesan batch, program perusahaan dan salinan atas file-file yang
relevan digunakan untuk mengolah data pengujian.
Dalam sebuah sistem online, para auditor memasukkan data pengujian dan kemudian mengamati
serta mencatat respon sistem.
Pemrosesan transaksi pengujian memiliki dua kelemahan.Pertama, auditor harus menghabiskan
waktu yang cukup banyak untuk memahami sistem dan menyiapkan transaksi-transaksi
pengujian.Kedua, auditor harus memastikan bahwa data pengujian tidak memengaruhi file dan
database perusahaan.
2. Teknik-Teknik Audit Bersamaan
Oleh karena transaksi-transaksi dapat diproses dalam sistem online tanpa meninggalkan jejak audit,
maka bukti yang dikumpulkan setelah data diproses tidaklah cukup untuk tujuan audit.Oleh karena itu,
teknik audit bersamaan untuk secara terus-menerus mengawasi sistem dan mengumpulkan bukti-bukti
audit sementara data asli diproses selama jam pengoperasian regular.
Teknik-teknik audit bersama menggunakan modul audit yang diletakkan, yang merupakan segmen
kode program yang menjalankan fungsi audit, melaporkan hasil pengujian, dan menyimpan bukti yang
dikumpulkan untuk tinjauan auditor.
Para auditor biasanya menggunakan lima teknik audit bersama sebagai berikut.
a) Sebuah integrated tes facility (ITF) menyisipkan catatan-catatan fiktif yang merepresentasikan
divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan. Memproses
transaksi-transaksi pengujian untuk memperbaruinya tidak akan memengaruhi catatan aktual.
b) Dalam teknik snapshot, transaksi-transaksi yang terpilih ditandai dengan sebuah kode khusus.

Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer

c) System control audit review file (SCARF) menggunakan modul audit yang dilekatkan untuk terus-
menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi dengan signifikansi
audit khusu, serta menyimpannya dalam sebuah file SCARF atau log audit.
d) Audit hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang
dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi.
e) Continuous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam sebuah sistem
manajemen database yang menguji seluruh transaksi yang memperbarui database menggunakan
kriteria yang serupa dengan SCARF.
3. Analisis atas Logika Program
Jika para auditor mencurigai bahwa sebuah program memuat kode yang tidak diotorisasi atau
kesalahan serius, sebuah analisis mendetail atas logika program mungkin diperlukan.
Auditor juga menggunakan paket-paket perangkat lunak berikut:
 Program bagan alir otomatis mengartikan kode sumber dan menghasilkan sebuah bagan alir
program.
 Program table keputusan otomatis mengartikan kode sumber dan menghasilkan sebuah table
keputusan.
 Rutinitas pemindaian mencari sebuah program untuk seluruh kejadian atas komponen-komponen
tertentu.
 Program pemetaan mengidentifikasi kode program yang tidak dilaksanakan.
 Penelusuran program secara berurutan mencetak seluruh langkah-langkah program yang dilakukan
ketika sebuah program berjalan, bercampur dengan output regular, sehingga urutan kejadian yang
dijalankan program dapat diamati .
E. Tujuan 5: Data Sumber
Sebuah matriks pengendalian input digunakan untuk mendokumentasikan pemeriksaan atas
pengendalian data sumber. Matriks pengendalian input merupakan sebuah matriks yang menunjukkan
prosedur-prosedur pengendalian yang diterapkan pada setiap field catatan input: digunakan untuk
mendokumentasikan pemeriksaan atas pengendalian data sumber.Fungsi pengendalian data harus
independen dari fungsi lainnya, melindungi sebuah log pengendalian data, menangani kesalahan, dan
memastikan keseluruhan efisiensi dari operasi.
Meskipun pengendalian data sumber mungkin tidak sering mengalami perubahan, seberapa ketatnya
pengendalian tersebut diterapkan dapat berubah, para auditor harus secara teratur mengujinya.
F. Tujuan 6: File Data
Tujuan keenam memperhatikan tentang ketepatan, integritas, dan keamanan atas data yang disimpan
dalam file yang dapat dibaca mesin.Pendekatan pengauditan dengan tujuan adalah sebuah upaya yang
komprehensif, sistematik, dan efektif atas evaluasi pengendalian internal. Pendekatan ini dapat
diimplementasikan menggunakan sebuah checklist prosedur audit bagi setiap tujuan.

Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer

IV. Perangkat Lunak

Computer assisted audit techniques (CAATs) mengacu pada perangkat lunak audit, sering disebut sebagai
generalized audit software (GAS), yang menggunakan spesifikasi yang disediakan auditor untuk menghasilkan
sebuah program untuk menjalankan fungsi audit, sehingga akan mengotomatiskan atau menyederhanakan
proses audit.Dua dari perangkat lunak yang paling popular adalah audit control language (ACL) dan Interactive
Data Extraction and Analysis (IDEA).
Untuk menggunakan CAATs, para auditor memutuskannya berdasarkan tujuan audit, mempelajari tentang
file dan database yang diaudit, mendesain laporan audit, dan menentukan bagaimana menghasilkannya. CAATs
akan sangat bernilai bagi perusahaan-perusahaan yang memiliki proses rumit, operasi terdistribusi, volume
transaksi tinggi, atau memiliki banyak jenis aplikasi dan sistem.
Berikut adalah beberapa penggunaan yang lebih penting atas CAATs.
 Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu;
 Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file;
 Merangkum, menyortir, dan menyaring data;
 Mengakses data dalam format yang berbeda dan mengubah data ke dalam sebuah format umum;
 Menguji catatan-catatan atas kualitas, kelengkapan, konsistensi, dan kebenaran;
 Membagi catatan berdasarkan tingkatan, memilih dan menganalisis sampel statis;
 Pengujian atas risiko tertentu dan mengidentifikasi bagaimana pengendalian atas risiko tersebut;
 Melakukan penghitungan, analisis statatistis, dan operasi matematis lainnya;
 Melakukan pengujian analitis;
 Mengidentifikasi kebocoran finansial;
 Merekonsiliasi perhitungan fisik dengan jumlah yang dikomputasi;
 Memformat serta mencetak laporan dan dokumen;
 Membuat kerta kerja elektronik.

V. Audit Operasional SIA

Teknik dan prosedur yang digunakan dalam audit operasional serupa dengan audit atas sistem informasi
dan laporan keuangan. Perbedaan dasarnya adalah lingkup audit. Sebuah audit sistem informasi ditujukan pada
pengendalian internal dan audit keuangan atas output sistem, sedangkan audit operasional meliputi seluruh
aspek atas manajemen sistem.
Langkah pertama dalam audit operasional adalah perencanaan audit, pada suatu waktu saat lingkup dan
tujuan audit ditetapkan, sebuah persiapan tinjauan sistem dilakukan, dan sebuah program audit tentative
disiapkan. Langkah selanjutnya, pengumpulan bukti, termasuk aktivitas-aktivitas sebagai berikut:
 Memeriksa kebijakan dan dokumentasi pengoperasian;
 Mengonfirmasi prosedur-prosedur dengan manajemen dan personel pengoperasian;
 Memeriksa rencana serta laporan finansial dan pengoperasian;

Reza Yandripano/A31115725
Bab 11Pengauditan Sistem Informasi Berbasis Komputer

 Menguji ketepatan atas informasi pengoperasian;

 Menguji pengendalian.
Pada tahap pengevaluasian bukti, auditor mengukur sistem terhadap salah satu sistem yang mengikuti
prinsip-prinsip manajemen paling terbaik.Satu pertimbangan terpenting adalah bahwa hasil dari kebijakan dan
praktik manajemen lebih signifikan dibandingkan kebijakan dan praktik itu sendiri.
Auditor operasional yang ideal memiliki pelatihan dan pengalaman audit juga pengalaman beberapa tahun
dalam sebuah posisi manajerial. Auditor dengan latar belakang pengauditan kuat, tetapi pengalaman
manajerialnya lemah biasanya memiliki kekurangan terkait perspektif yang diperlukan untuk memahami proses
manajemen.

Reza Yandripano/A31115725