AUDIT SISTEM INFORMASI AKUNTANSI

Audit Sistem Informasi Akuntansi berbasis komputer adalah sebuah proses

sistematis untuk secara objektif mendapatkan dan mengevaluasi bukti
mengenai pernyataan perihal tindakan dan transaksi yang bernilai ekonomi,
untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan
hasil kriteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasinya
pada para pemakai yang berkepentingan (American Accounting Association).
Audit dilakukan oleh auditor internal dan auditor eksternal. Auditor internal
bertanggungjawab untuk membantu pihak manajemen meningkatkan
efektivitas dan efesiensi organisasional, termasuk membantu mendesain dan
mengimplementasikan Sistem Informasi Akuntansi yang memberikan
kontribusi pada tujuan perusahaan. Auditor eksternal bertanggung jawab
pada pihak-pihak yang berkepentingan terhadap perusahaan dan investor,
disamping itu secara tidak langsung berkepentingan dalam efektifitas Sistem
Informasi Akuntansi dalam perusahaan. Keberadaan audit internal dalam
organisasi bisnis (perusahaan) adalah untuk mengevaluasi kecukupan dan
efektivitas sistem pengendalian internal perusahaan, serta menetapkan
keleluasaan dari pelaksanaan tanggung jawab yang benar-benar dilakukan.
Jenis kegiatan audit internal dalam perusahaan meliputi audit keuangan,
audit sistem informasi dan audit operasional atau manajemen.

1. PENGERTIAN AUDIT
Pada dasarnya pemeriksaan atau yang lebih dikenal dengan istilah audit
bertujuan untuk menilai apakah pelaksanaan sudah selaras dengan apa
yang telah digariskan, maka dapat disimpulkan bahwa audit merupakan
suatu proses membandingkan antara kenyataan dengan seharusnya.
Pengertian Audit menurut Arens, et al (2006:11) adalah : “Auditing is the
accumulation and evaluation of evidence about information to determine and
report on the degree of corespondence between the information and
established criteria. Auditing should be done by a competent, independent
person.” Bahwa audit merupakan suatu proses yang sistematis dan secara
objektif mendapatkan dan menilai bukti mengenai assertion economic action

1
dan kesesuaian dengan kriteria yang ditetapkan dan mengkomunikasikan
hasilnya pada pihak-pihak yang berkepentingan.

2. STANDAR-STANDAR AUDIT INTERNAL

Berdasarkan Institute of Internal Auditor (IIA), tujuan dari audit internal
adalah untuk mengevaluasi kecukupan dan efektivitas sistem pengendalian
intenal perusahaan serta mendapatkan keluasan dari pelaksanaan
tanggungjawab yang benar-benar dilakukan. Kelima standar lingkup audit
IIA memberikan garis besar atas tanggung jawab audit internal:
1. Melakukan tinjauan atas keandalan dan integritas informasi operasional
dan keuangan, serta bagaimana hal tersebut diidentifikasi, diukur,
iklasifikasi dan dilaporkan.
2. Menetapkan apakah sistem telah didesain untuk sesuai dengan kebijakan
operasional dan pelaporan, perencanaan, prosedur, hukum, dan
peraturan yang berlaku.
3. Melakukan tinjauan mengenai bagaimana aset dijaga, dan memverifikasi
keberadaan aset tersebut.
4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif
dan efisien mereka digunakan.
5. Melakukan tinjauan atas operasional dan program perusahaan, untuk
menetapkan apakah mereka telah dilaksanakan sesuai rencana dan
apakah mereka dapat memenuhi tujuan-tujuan mereka.

3. JENIS-JENIS KEGIATAN AUDIT INTERNAL

1. Audit keuangan memeriksa keandalan dan integritas catatan-catatan
akuntansi (baik informasi keuangan dan operasional) dan
menghubungkannya dengan standar pertama dari kelima standar
lingkup audit internal.
2. Audit sistem informasi melakukan tinjauan atas pengendalian SIA
untuk menilai kesesuaiannya dengan kebijakan dan prosedur
pengendalian serta efektivitas dalam menjaga aset perusahaan.
Lingkupnya secara kasar berhubungan dengan standar kedua dan
ketiga dari IIA.

2
 3. Audit operasional atau manajemen berkaitan dengan penggunaan
secara ekonomis dan efisien sumber daya, serta pencapaian sasaran
dan tujuan yang telah ditetapkan. Lingkupnya berhubungan dengan
standar keempat dan kelima.

4. TINJAUAN MENYELURUH PROSES AUDIT

Seluruh audit menggunakan urutan kegiatan yang hampir sama, sehingga
dapat dibagi kedalam empat langkah: merencanakan, mengumpulkan bukti,
mengevaluasi bukti, dan mengkomunikasikan hasil audit.
1. Merencanakan Audit
Tujuan dari perencanaan audit adalah untuk menetapkan mengapa,
bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah
pertama dalam perencanaan audit adalah menetapkan lingkup dan tujuan
audit.
2. Mengumpulkan Bukti Audit
Sebagian besar usaha audit dihabiskan untuk mengumpulkan bukti.
Berikut ini adalah metode-metode yang paling umum digunakan untuk
mengumpulkan bukti audit:
a) Pengamatan atas berbagai kegiatan yang diaudit (contohnya,
memperhatikan bagaimana cara pegawai memasuki lokasi komputer
atau bagaimana personil pengendalian data menangani kegiatan
permoresan data begitu data diterima).
b) Melakukan tinjauan atas dokumentasi untuk memahami bagaimana
suatu SIA atau Sistem Pengendalian Internal berfungsi
c) Diskusi dengan para pegawai mengenai pekerjaan mereka dan
bagaimana mereka melaksanakan beberapa prosedur tertentu.
d) Kuesioner yang dapat mengupulkan data mengenai sistem terkait.
e) Pemeriksaan fisik jumlah dan/atau kondisi aset berwujud seperti
perlengkapan, persediaan, atau kas.
f) Melakukan konfirmasi atas ketetapan informsi tertentu, seperti saldo
rekening pelanggan, melalui komunikasi dengan pihak ketiga yang
independen.

3
 g) Melakukan ulang prosedur pilihan perhitunan tertentu untuk
memverifikasi informasi kuantitatif dan beberapa catatan dan laporan
(contohnya, auditor dapat menghitung kembali suatu total batch atau
menghitung kembali beban depresiasi bangunan).
h) Pembuktian untuk mendapatkan validitas sebuah transaksi dengan
cara memeriksa seluruh dokumen pendukungnya, seperti pesanan
pembelian, laporan penerimaan, dan faktur penjualan dari pemasok
yang transaksi utang usaha.
i) Tinjauan analitis atas hubungan dan tren atas informasi untuk
mendeteksi hal-hal yang harus diselidiki lebih lanjut. (contohnya,
seorang auditor untuk jaringan toko baju menemukan bahwa disalah
satu toko, rasio piutang usaha terhadap penjualan sangat tinggi.
Sebuah penyidikan mengungkap bahwa manajer toko tersebut telah
mangalihkan uang dari hasil penagihan, untuk dipakai secara pribadi).
3. Mengevaluasi Bukti Audit
Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan audit
tertentu, dan memutuskan apakah bukti tersebut mendukung
kesimpulan atau tidak. Apabila kurang mendukung, auditor akan
merencanakan dan melaksanakan prosedur tambahan sampai bukti yang
cukup dapat dikumpulkan untuk membuat kesimpulan yang kuat.
Materialitas dan kepastian yang wajar merupakan hal yang penting ketika
ingin memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan
saat untuk mengevaluasi bukti. Oleh karena kesalahan selalu ada pada
system manapun, para auditor berfokus untuk mendeteksi dan
melaporkan kesalahan-kesalahan yang memiliki dampak signifikan pada
interpretasi pihak manajemen atas penemuan-penemuan audit. Dalam
seluruh tahapan audit, penemuan dan kesimpulan dengan hati-hati
didokumentasikan dalam lembar kerja audit. Dokumentasi sangatlah
penting pada tahap evaluasi untuk mencapai dan mendukung kesimpulan
akhir.
4. Mengkomunikasikan Hasil Audit
Auditor mempersiapkan laporan tertulis (dan kadang-kadang lisan) yang
meringkas penemuan-penemuan dan berbagai rekomendasi audit, dengan

4
 referensi bukti pendukung dalam lembar kerja. Laporan ini disajikan
kepada pihak manajemen, komite audit, dewan komisaris, dan pihak-
pihak lain yang terkait. Setelah hasil audit dikomunikasikan para auditor
sering kali melaksanakan penelitian lanjut untuk memastikan bahwa
rekomendasi mereka telah diimplementasikan

5. AUDIT SISTEM INFORMASI

Audit Sistem Informasi adalah proses pengumpulan data dan
pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem
aplikasi komputerisasi telah menetapkan dan menerapkan sistem
pengendalian internal yang memadai, semua aktiva dilindungi dengan baik
atau disalahgunakan serta terjaminnya integritas data, keandalan serta
efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer
(Ron Weber 1999:10). Ada beberapa aspek yang diperiksa yakni audit secara
keseluruhan menyangkut efektifitas, efisiensi, availability (apakah system
online terus atau sering trouble),  reliability, confidentiality  dan integrity,
aspek keamanan, audit atas proses, modifikasi program, audit atas sumber
data, dan data file/database. Audit sistem informasi sendiri merupakan
gabungan dari berbagai macam ilmu, antara lain traditional audit,
manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer,
dan behavioral science.

Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi menurut Ron Weber (1999:11-13) secara garis
besar yaitu:
1. Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware),
perangkat lunak (software), sumber daya manusia, file data harus dijaga
oleh suatu sistem pengendalian internal yang baik agar tidak terjadi
penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan
aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh
perusahaan.
2. Menjaga Integritas Data

5
 Integritas data (data integrity) adalah salah satu konsep dasar sistem
informasi. Data memiliki atribut-atribut tertentu seperti: kelengkapan,
kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka
suatu perusahaan tidak akan lagi memilki hasil atau laporan yang benar
bahkan perusahaan dapat mengalami kerugian.
3. Efektivitas Sistem
Efektivitas sistem informasi perusahaan memiliki peranan penting dalam
proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan
efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
4. Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak
lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah
efisiensi sistem masih memadai atau harus menambah sumber daya,
karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat
memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
5. Ekonomis
Ekonomis menunjukkan kalkulasi untuk rugi ekonomi yang sifatnya
kuantifikasi nilai moneter atau uang. Ekonomis bersifat pertimbangan
ekonomi.

Audit Sistem Informasi merupakan proses pengumpulan dan pengevaluasian

bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten
untuk mengetahui apakah suatu sistem informasi dan sumber daya terkait,
secara memadai telah dapat digunakan untuk:
1. Melindungi asset.
2. Menjaga integritas dan ketersediaan sistem dan data.
3. Menyediakan informasi yang relevan dan handal.
4. Mencapai tujuan organisasi dengan efektif.
5. Menggunakan sumber daya dengan efisien.
6. Tujuan audit sia adalah untuk meninjau dan mengevaluasi pengendalian
internal yang melindungi sistem tersebut.

6
Tujuan audit Sistem Informasi adalah untuk meninjau dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika
melaksanakan audit sistem informasi, para auditor harus memastikan
tujuan-tujuan berikut ini dipenuhi:
1. Perlengkapan keamanan melindungi perlengkapan komputer, program,
komunikasi, dan data dari akses yang tidak sah, modifikasi, atau
penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan
otorisasi khusus dan umum dari pihak manajemen.
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak
manajemen.
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah
akurat dan lengkap.
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang
tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial
yang telah ditetapkan.
6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.

Meskipun berbagai macam tipe audit dilaksanakan, sebagian besar audit

menekankan pada sistem informasi akuntansi dalam suatu organisasi dan
pencatatan keuangan dan pelaksanaan operasiorganisasi yang efektif dan
efisien.

6. TEKNIK DAN PROSEDUR YANG DIPERLUKAN UNTUK

MELAKSANAKAN RENCANA AUDIT

Gambar berikut ini mengilustrasikan hubungan diantara ke-enam tujuan ini

dengan komponen-komponen sistem informasi.

7
1. Keamanan Keseluruhan
a) Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan.
Hal ini mencakup kerusakan yang disengaja dan tidak disengaja atas aset
sistem; akses tidak sah, pengungkapan atau modifikasi data dan program;
pencurian; serta interupsi atas kegiatan bisnis yang penting.
b) Prosedur pengendalian untuk meminimalkan kesalahan dan penipuan
keamanan. Hal ini mencakup mengembangkan rencana keamanan
/perlindungan informasi dari virus, mengimplementasikan firewall,
mengadakan pengendalian atas pengiriman data, dan mencegah serta
memulihkan diri dari kegagalan sistem atau bencana lainnya.
c) Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi
komputer; melakukan wawancara dengan para personilnya; meninjau
kebijakan dan prosedur; serta memeriksa daftar akses, kebijakan
asuransi, dan rencana pemulihan dari bencana

8
d) Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian
keamanan dengan cara mengamati prosedur, memverifikasi bahwa
terdapat pengendalian dan pengendalian tersebut berfungsi seperti
dengan yang diharapkan, menginvestigasi berbagai kesalahan atau
masalah untuk memastikan mereka ditangani dengan benar serta
memeriksa berbagai uji yang sebelumnya telah dilaksanakan. Contohnya,
salah satu cara untuk menguji pengendalian akses logika adalah dengan
mencoba melanggar masuk ke sistem. Selama audit keamanan sebuah
badan pemerintah amerika serikat, para auditor menggunakan terminal-
terminal badan tersebut untuk mendapatkan akses secara tidak sah ke
sistem komputer mereka, mematikan prosedur permeriksaan
keamanannya, dan mengendalikan sistem tersebut dari terminal yang
mereka pakai. Kegagalan keamanan dapat terjadi karena kurangnya
pengendalian administratif dan software keamanan yang tidak memadai.
e) Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah
tidak cukup, maka organisasi menghadapi risiko yang besar. Kebijakan
personil yang baik dan pemisahan tugas secara efektif atas pekerjaan
yang tidak boleh disatukan, dalam beberapa hal dapat mengimbangi
keamanan komputer yang kurang tersebut. Oleh karena hampir tidak
mungkin pengendalianpengendalian ini dapat mengimbangi secara
keseluruhan keamanan komputer yang kurang baik, para auditor harus
sangat merekomendasikan agar kelemahan keamanan tersebut diperbaiki.
2. Pengembangan Dan Perolehan Program
Dua hal yang dapat salah dalam pengembangan program :
a) Kesalahan yang tidak disengaja karena adanya kesalah pahaman atas
spesifikasi sistem atau kecerobohan pemrograman, dan
b) Perintah tidak sah yang dengan sengaja dimasukkan ke dalam program.

Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi

serta persetujuan dari pihak manajemen dan pemakai, pengujian
keseluruhan, dan dokumentasi yang memadai. Peran auditor dalam
pengembangan sistem harus dibatasi sampai pada peninjauan independen
atas kegiatan pengambangan sistem. Untuk mempertahankan objektivitas

9
yang dibutuhkan dalam melaksanakan evaluasi independen atas fungsi,
para auditor harus tidak dilibatkan dalam pengembangan sistem. Selama
peninjauan sistem, para auditor harus mendapat pemahaman mengenai
prosedur pengembangan dengan mendiskusikannya bersama pihak
manajemen, pemakai sistem, dan para personil sistem informasi. Mereka
juga harus meninjau kebijakan, prosedur, standar dan dokumentasi.

3. Modifikasi Program
Kesalahan dan penipuan yang terjadi dalam pengembangan program dapat
juga terjadi selama modifikasi program. Ketika sebuah perubahan program
diserahkan untuk persetujuan, sebuah daftar hal-hal yang akan diperbarui
harus disusun dan kemudian disetujui oleh pihak manajemen dan pemakai
program. Semua perubahan program harus diuji secara keseluruhan dan
didokumentasikan. Selama proses perubahan, versi opengembangan
program harus tetap dipisahkan dari versi produksi program. Setelah
program yang diubah telah mendapatkan persetujuan akhir, perubahan
tersebut diimplementasikan dengan cara mengganti versi produksi dengan
versi pengembangan.
4. Pemrosesan Komputer
Fokus tujuannya adalah pemrosesan transaksi, file, dan catatan komputer
untuk memperbarui file serta database, dan yang digunakan untuk
menghasilkan laporan. Dalam pemrosesan komputer, sistem bisa saja gagal
mendeteksi input yang salah, memperbaiki kesalahan input secara tidak
tepat, memproses input yang salah, atau menyebarkan atau mengungkap
output secara tidak benar.

5. Data Sumber
Dalam sistem on-line, entri dan fungsi pemrosesan data sumber merupakan
satu kesatuan operasi. Oleh sebab itu, pengendalian dta sumber seperti
otorisasi yang memadai dan edit input data, diintergrasikan dengan
pengendalian pemrosesan. Para auditor harus memastikan bahwa fungsi
penendalian data independen dari fungsi lainnya, memelihara daftar
pengendalian data, menangani kesalahan dan memastikan efisiensi umum

10
operasinya. Biasanya tidak layak secara ekonomi bagi perusahaan kecil dan
instalasi PC untuk memiliki fungsi pengendalian data yang independen.
Untuk mengimbanginya, pengendalian departemen pemakai harus lebih
kuat dalam hal persiapan data, pengendalian jumlah total batch, program
edit, pembatasan atas akses secara fisik dan logika ke sistem, dan prosedur
penanganan kesalahan. Prosedur-prosedur ini harus menjadi fokus tinjauan
sistem dan uji pengendalian auditor, ketika tidak didapati adanya fungsi
penendalian data yang independen.

6. File Data
Tujuan ini meliputi akurasi, integritas, dan keamanan data yang disimpan
dalam file yang dapat dibaca oleh mesin. Risiko penyimpanan data
mencakup modifikasi tidak sah, penghancuran, atau pengungkapan data.
Apabila pengendalian file sangat lemah, terutama dalam kaitannya dengan
akses fisik atau logika atau dengan prosedur salinan cadangan dan
pemulihan file, maka auditor harus sangat merekomendasikan perbaikan
atas kelemahan-kelemahan tersebut.

7. SOFTWARE KOMPUTER
Beberapa program komputer, yang disebut computer audit software (CAS)
atau generalized audit software (GAS) telah dibuat secara khusus untuk
auditor. Program tersebut tersedia di pemasok software dan kantor akuntan
publik besar. Pada dasarnya, CAS adalah program komputer yang,
berdasarkan spesifikasi dari auditor, yang menghasilkan program yang
melaksanakan fungsi-fungsi audit. CAS idealnya sesuai untuk pemeriksaan
file data yang besar, untuk mengidentifikasi catatan-catatan yang
membutuhkan pemeriksaan audit lebih lanjut. Tujuan utama dari CAS
adalah untuk membantu auditor dalam melakukan tinjauan serta menarik
informasi dari berbagai file komputer. Ketika auditor menerima laporan dari
CAS, sebagian besar kegiatan audit akan tetap harus dilaksanakan. Hal-hal
yang termasuk dalam pengecualian harus diselidiki, jumlah total file harus
diverifikasi dengan sumber informasi lainnya, seperti buku besar, dan
sampel-sampel audit harus diselidiki serta dievaluasi. Walaupun kelebihan

11
menggunakan CAS sangat banyak dan dapat dipercaya, CAS tidak dapat
menggantikan penilaian auditor atau membebaskan auditor dari tahap-
tahap audit lainnya.

8. AUDIT OPERASIONAL ATAS SUATU SIA

Berbagai teknik dan prosedur yang digunakan dalam audit operasional
hampir sama dengan yang diterapkan dalam audit sistem informasi dan
keuangan. Perbedaan utamanya adalah bahwa lingkup audit sistem
informasi dibatasi pada pengendalian internal, sementara lingkup audit
keuangan dibatasi pada audit sistem. Sebaliknya, lingkup audit operasional
lebih luas, melintasi seluruh aspek manajemen sistem informasi. Sebagai
tambahan, tujuan audit operasional mencakup faktor-faktor seperti
efektivitas, efisiensi, dan pencapaian tujuan. Langkah pertama dalam audit
operasional adalah perencanaan audit, yaitu masa pembuatan lingkup dan
tujuan audit, tinjauan awal dalam sistem dilakukan, dan program audit
sementara dipersiapkan.

9. ANCAMAN-ANCAMAN ATAS SISTEM INFORMASI AKUNTANSI

1. Salah satu ancaman yang dihadapi perusahaan adalah kehancuran
karena bencana alam dan politik, seperti:
a) Kebakaran atau panas yang berlebihan
b) Banjir, gempa bumi
c) Badai angin dan perang
2. Ancaman kedua bagi perusahaan adalah kesalahan pada software dan
tidak berfungsinya peralatan, seperti:
a) Kegagalan software
b) Kesalahan atau terdapat kerusakan pada software, kegagalan sistem
operasi, gangguan dan fluktuasi listrik.
c) Serta kesalahan pengiriman data yang tidak terdeteksi.
3. Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja,
seperti:
a) Kecelakaan yang disebabkan kecerobohan manusia
b) Kesalahan tidak disengaja karena teledor

12
 c) Kehilangan atau salah meletakkan
d) Kesalahan logika
e) Sistem yang tidak memenuhi kebutuhan perusahaan
4. Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja,
seperti:
a) Sabotase
b) Penipuan komputer
c) Penggelapan
5. Beberapa ancaman lainnya adalah
a) Merekrut karyawan yang tidak kualified hiring of unqualified.
b) Pelanggaran hukum oleh karyawan ( violation of employment low)
c) Perubahan yang tidak diotorisasi pada file induk pembayaran (master
payroll file)
d) Ketidakakuratan data waktu (Inccurate time data)
e) Ketidakakuratan proses pembayaran
f) Pencurian atau kecurangan pendistribusian pembayaran
g) Kehilangan atau tidak terotorisasi data pembayaran
h) Performansi jelek.

13