Disusun Untuk Memenuhi Salah Satu Tugas Mata Kuliah Sistem Informasi Akuntansi
Dosen Pembina :
Kelompok 3 :
Fadia Rahma Nur Safitri (2020090310060)
Umi Asri Utami (2020090310052)
KELAS A
2022
1
KATA PENGANTAR
Puji syukur kehadirat Allah SWT atas segala rahmat, nikmat, serta karunia-Nya
sehingga kami dapat menyelesaikan penyusunan makalah ini tepat pada waktunya. Tak lupa,
kami ucapkan terima kasih kepada rekan-rekan yang berkontribusi dalam penyusunan
makalah ini.
Kami menyadari bahwa masih banyak kekurangan terhadap makalah ini. Oleh karena
itu, kami mengharapkan kritik dan saran yang membangun untuk memperbaiki bentuk
maupun isi makalah, sehingga kedepannya dapat lebih baik.
Kelompok III
i
DAFTAR ISI
KATA PENGANTAR..............................................................................................................i
DAFTAR ISI............................................................................................................................ii
BAB I PENDAHULUAN ........................................................................................................1
1.1 Latar Belakang.............................................................................................................1
1.2 Rumusan Masalah.......................................................................................................2
1.3 Tujuan Penulisan.........................................................................................................2
BAB II PEMBAHASAN .........................................................................................................3
2.1 Integritas Pemrosesan..................................................................................................3
2.2 Ketersediaan................................................................................................................9
2.3 Sifat Pengauditan.......................................................................................................12
2.4 Audit Sistem Informasi..............................................................................................14
BAB III PENUTUP ...............................................................................................................21
3.1 Kesimpulan................................................................................................................21
3.2 Kritik dan Saran.........................................................................................................21
DAFTAR PUSTAKA.............................................................................................................23
ii
BAB I
PENDAHULUAN
Mulai dari sistem input, proses, dan output yang dirancang berbasis komputer
dapat membantu perusahaan menyelesaikan pekerjaan dengan cepat. Perusahaan terus
mengembangkan sistem untuk kegiatan yang lebih baik. Tetapi, dengan adanya sistem
yang baik tidak berarti bahwa perusahaan dapat bekerja dengan baik. Perusahaan juga
menghadapi tantangan seperti kesalahan entri data, kesalahan pemrosesan, penggunaan
laporan yang tidak tepat, kegagalan sistem itu sendiri, terutama kegagalan pemrosesan
dan ketersediaan. Untuk alasan ini, perusahaan perlu menerapkan kontrol pemrosesan
dan ketersediaan untuk mencegah kejadian yang tidak diinginkan.
1
pencapaian suatu tujuan organisasi. Dengan adanya sistem audit ini memiliki peran yang
sangat penting dalam mengukur nilai tingkat kematangan suatu perusahaan. Karena,
bisnis sebuah perusahaan sangat tergantung pada manajemen layanan Teknologi
Informasi (TI) yang dimiliki serta kesesuaian layanan yang diberikan dengan strategi
bisnis perusahaan. Oleh karena itu, sistem audit dapat dengan mudah membantu
pekerjaan karyawan dalam mengevaluasi kinerja layanan pada suatu perusahaan,
sehingga dapat mengurangi kejanggalan yang sering terjadi di perusahaan dengan
adanya sistem audit ini.
Audit sistem informasi sendiri merupakan salah satu metode penilaian terhadap
sebuah objek, dalam kasus ini yakni pada sistem informasi. Namun pada dasarnya audit
dapat dilakukan di dalam sebuah organisasi manapun dengan proses bisnis apapun
sesuai dengan kebutuhan organisasi tersebut.
2
BAB II
PEMBAHASAN
3
memberi stempel “dibayar”. Dokumen elektronik dengan cara yang sama dapat
“dibatalkan” dengan mengatur sebuah field tanda untuk mengindikasikan bahwa
dokumen tersebut telah diproses.
d. Pengendalian Entri Data
Dokumen-dokumen sumber harus dipindai untuk kewajaran dan kebenaran
sebelum dimasukkan kedalam sistem. Meskipun demikian, pengendalian manual ini
harus dilengkapi dengan pengendalian entri data otomatis, seperti berikut ini:
Pengecekan field (field check) yaitu menentukan apakah karakter yang ada pada
field yang tepat. Sebagai contoh, pengecekan pada field yang semestinya hanya berisi
nilai numerik, seperti kode pos Amerika Serikat, akan mengidentifikasikan sebuah
kesalahan jika kode pos tersebut berisi karakter alfabetis.
Pengecekan tanda (sign check), menentukan apakah pada field yang tersedia
terdapat tanda aritmatika. Sebagai contoh, field kuantitas yang dipesan seharusnya
tidak pernah negatif.
Pengecekan batas (limit check), menguji sejumlah numerik dengan nilai tetap.
Sebagai contoh, field jam regular yang dikerjakan dalam input penggajian mingguan
harus kurang dari atau sama dengan 40 jam. Sama halnya, field upah per jam harus
lebih besar dari atau sama dengan upah minimum.
Pengecekan jangkauan (range check), menguji apakah numerik berada di batas
tertinggi atau teredah yang telah ditentukan. Sebagai contoh, sebuah promosi
pemasaran mungkin dilakukan hanya untuk prospek dengan pendapatan antara
$50.000 dan $99.999.
Pengecekan ukuran (size check), memastikan ukuran data input sesuai dengan
fieldnya. Sebagai contoh, nilai 458.976.253 tidak akan cukup dalam field delapan
digit. Pengecekan ukuran terutama penting untuk aplikasi yang menerima input
pengguna akhir, menyediakan cara untuk mencegah kerentanan limpahan buffer
(buffer overflow).
Pengecekan kelengkapan, memastikan bahwa seluruh item yang diperlukan telah
dimasukkan.
Pengecekan validitas (validity check), membandingkan kode ID atau no rekening
dalam transaksi dengan file induk untuk memastikan bahwa rekening tersebut benar-
benar ada. Sebagai contoh, jika nomr produk 65432 dimasukkan ke dalam sebuah
4
pesanan penjualan, komputer harus memverifikasi bahwa memang benar ada produk
65432 didalam database persediaan.
Tes kewajaran (resonablenese test) , menentukan kebenaran hubungan logis dua
item data.
No ID resmi (seperti nomor pegawai) dapat berisi cek digit (check digit) sehingga
dapat diprogram sistem untuk menjalankan verifikasi cek digit. Contohnya, sistem
dapat menetapkan setiap pegawai baru nomor digitnya Sembilan, kemudian
menghitung digit kesepuluh dari Sembilan yang asli dan menambahkan catatan
nomor yang dihitung tersebut kesembilan digit nomor yang asli untuk membentuk
sebuah nomor ID 10 digit. Perangkat entri data kemudian dapat deprogram untuk
menjalankan verifikasi cek digit (check digit verification), yang melibatkan
penghitungan ulang cek digit untuk mengidentifikasi kesalahan entri data.
e. Pengendalian Tambahan Entri Data Pemrosesan Batch
Pengecekan berurutan dibutuhkan untuk menguji batch input data berada di urutan
alfabetis/numerik yang tepat atau tidak. Pemrosesan batch bekerja lebih efisien jika
transaksi-transaksi disortir, sehingga rekening-rekening yang terkena dampak berada
dalam urutan yang sama dengan catatan di dalam file induk. Sebagai contoh,
pemrosesan batch yang akurat pada transaksi penjualan untuk memperbarui saldo
rekening pelanggan mensyaratkan transaksi disortir terlebih dahulu berdasarkan
nomor rekening pelanggan. Sebuah pengecekan berurutan (sequence check) menguji
apakah batch atas input data berada dalam urutan numerik atau alfabetis yang tepat.
Sebuah log kesalahan yang mengidentifikasikan kesalahan input data (tanggal,
penyebab, masalah) memudahkan pemeriksaan tepat waktu dan pengumpulan ulang
atas transaksi yang tidak dapat diproses.
Total batch (batch total) merangkum nilai numerik sebuah batch atas catatan input.
Tiga total batch yang sering digunakan:
a) Total finansial (financial total), menjumlahkan field yang berisi nilai moneter,
seperti total jumlah dolar dari seluruh penjualan untuk sebuah batch transaksi
penjualan.
b) Total hash (hash total), menjumlahkan field numerik non-finansial, seperti field
total kuantitas yang dipesan di dalam sebuah batch transaksi penjualan.
c) Jumlah catatan (record count), banyaknya catatan dalam sebuah batch.
5
f. Pengendalian Tambahan Entri Data Online
Prompting, sistem meminta tiap data input dan menunggu respon yang bisa diterima,
memastikan bahwa data yang diperlukan sudah dimasukkan semuanya (dengan kata
lain, prompting adalah sebuah pengecekan kelengkapan secara online).
Verifikasi closed-loop, mengecek ketepatan data input dengan menggunakannya
untuk mengambil dan menampilkan informasi terkait lainnya. Sebagai contoh, jika
seorang petugas memasukkan nomor rekening, sistem dapat mengambil dan
menampilkan nama rekening sehingga petugas tersebut dapat memverifikasi bahwa
nomor rekening yang tepat telah dimasukkan.
Sebuah log transaksi menyertakan catatan detail dari seluruh transaksi, jadi jika
dirusak, log tersebut dapat digunakan untuk memulihkan file. Jika sebuah kegagalan
fungsi (malfungsi) untuk sementara menutup sistem, maka log transaksi dpat
digunakan untuk memastikan bahwa transaksi tidak hilang atau dimasukkan dua kali.
g. Pengendalian Pemrosesan
Pengendalian juga diperlukan untuk memastikan bahwa data diproses debgan
benar. Pengendalian pemrosesan yang penting mencakup kegiatan sebagai berikut.
Pencocokan data, data harus dicocokkan sebelum melakukan sebuah tindakan.
Label file, memastikan bahwa file yang benar dan terkini sedang diperbaharui. Baik
label eksternal yang dapat dibaca oleh manusia maupun label internal yang tertulis
dalam bentuk yang dapat terbaca mesin dalam media pencatatan data harus
digunakan. Dua jenis label internel yang penting adalah catatan kepala dan trailer.
a) Catatan kepala (header record), ditempatkan di awal file, memuat nama file,
tanggal kadaluarsa, dan data identifikasi yang lain.
b) Catatan trailer (trailer record), diletakkan di akhir file, memuat total batch yang
dihitung selama input.
Perhitungan ulang total batch. Total batch harus dihitung ulang setiap masing-
masing catatan transaksi diproses, dan total dari batch tersebut harus dibandingkan
dengan nilai-nilai dalam catatan trailer. Jika sebuah perbedaan total financial atau
hash dapat dibagi dengan angka 8 kemungkinan yang menyebabkan adalah kesalahan
transposisi (transposition error), dimana dua digit yang berdekatan secara tidak
sengaja terbalik (misalnya, 46 bukannya 64). Kesalahan transposisi mungkin
nampaknya sepele, tetapi dapat memiliki konsikuensi financial yang sangat besar.
6
Sebagai contoh, pertimbangkan efek dari kesalahan pencatatan tingkat bunga
pinjaman menjadi 6,4% bukannya 4,6%.
Pengujian saldo cross-footing dan saldo-nol
Biasanya total dapat dihitung dengan berbagai cara. Sebagai contoh, dalam
spreadsheet sebuah grand total dapat dihitung dengan menjumlahkan sebuah kolom
dari total baris atau dengan menjuamlahkan sebuah baris dari total kolom. Pengujian
saldo nol (zero-balance test) menerapkan logika yang sama untuk memverivikasi
ketepatan pemrosesan yang melibatkan rekening kontrol. Sebagai contoh, rekening
kliring penggajian diterbitkan sebesar total gaji kotor kepada seluruh pegawai dalam
satu periode waktu tertentu. Kemudian total gaji kotor tersebut dikreditkan sebesar
jumlah dari seluruh biaya tenaga kerja yang dialokasikan ke berbagai kategori biaya.
Rekening kliring penggajian harus memiliki saldo nol setelah kedua set entri telah
dibuat; sebuah saldo bukan nol mengindikasikan kesalahan pemrosesan.
a) Pengujian saldo cross-footing membandingkan hasil perhitungan masing-masing
metode untuk memastikan ketepatannya.
b) Pengujian saldo nol memastikan saldo rekening control sama dengan nol setelah
seluruh entri dibuat.
Mekanisme write-protection, melindungi terhadap penimpaan (overwriting) dan
penghapusan (erasing) file yang disimpan dalam media magnetic. Mekanisme write-
protection telah lama digunakan untuk melindungi file induk dari kerusakan yang
tidak disengaja. Sebagai contoh, label-label radio frequency identification (RFID)
digunakan dalam melacak kebutuhan persediaan untuk melindungi penulisan (write-
protected), sehingga pelanggan yang curang tidak dapat mengubah harga barang
dagang.
Pengendalian pembaruan secara bersamaan, melindungi catatan individu dari
kesalahan jika pengguna berupaya memperbarui catatan yang sama bersamaan.
Pengendalian pembaruan secara bersamaan (concurrent update controls)
mencegah kesalahan tersebut dengan mengunci satu pengguna sampai sistem telah
selesai memproses transaksi yang dimasukkan oleh yang lainnya.
h. Pengendalian Output
Pengecekan yang hati-hati terhadap output sistem memberikan pengendalian
tambahan atas integritas pemrosesan. Pengendalian output yang penting meliputi:
7
Pemeriksaan pengguna terhadap output, untuk memastikan bahwa output-nya
masuk akal, lengkap, dan penerima yang benar.
Prosedur rekonsiliasi. Secara periodik, seluruh transaksi dan pembaruan sistem
lainnya harus direkonsiliasi untuk laporan pengendalian, laporan status/pembaruan
file, atau mekanisme pengendalian lainnya. Selain itu, rekening buku besar harus
direkonsiliasi dengan total rekening buku pembantu secara teratur. Sebagai contoh,
saldo dari rekening kontrol persediaan dalam buku besar harus sama dengan jumlah
dari saldo barang di dalam database persediaan. Hal yang sama berlaku untuk
rekening kontrol pada piutang, asset modal dan utang usaha.
Rekonsiliasi data eksternal, rekonsiliasi secara periodik dengan data yang dikelola
di luar sistem. Sebagai contoh, jumlah catatan pegawai di file penggajian dapat
dibandingkan dengan total jumlag pegawai di database sumber daya manusia untuk
mendeteksi upaya menambahkan pegawai-pegawai fiktif ke database penggajian.
Sama halnya, persediaan ditangan harus dihitung secara fisik dan dibandingkan
dengan kuantitas ditangan yang tercatat di database.
Pengendalian transmisi data, setiap penerima mendeteksi kesalahan transmisi, ia
akan meminta perangkat pengirim mentransmisi ulang data tersebut. Secara umum,
ini terjadi secara otomatis, dan pengguna tidak sadar bahwa pengendalian transmisi
telah terjadi. Sebagai contoh, transmission control protocol (TCP) menentukan
urutan nomor untuk setiap paket dan menggunakan informasi tersebut untuk
memverifikasi bahwa seluruh paket telah diterima dan menyusun kembali dalam
urutan yang benar. Dan pengendalian transmisi data yang umum lainnya adalah
checksum dan bit paritas.
a) Checksum, pengendalian transmisi data menggunakan hash dari sebuah file
untuk memastikan ketepatannya.
b) Bit Paritas. Komputer merepresentasikan karakter sebagai sebuah set digit biner
yang disebut bit. Setiap bit memiliki 2 nilai yang mungkin: 0 atau 1. Kebanyakan
komputer menggunakan skema pengodean 7 bit, yang lebih dari cukup untuk
merepresentasikan 26 huruf dalam alphabet bahasa inggris (baik huruf besar
maupun kecil), angka 0 sampai 9, dan berbagai symbol khusus ($, %, &, dsb).
Sebuah bit ekstra yang ditambahkan ke karakter untuk memastikan ketepatan
transmisi. Dua skema dasar disebut sebagai paritas genap dan paritas ganjil.
8
2.2 Ketersediaan
Gangguan proses bisnis karena sistem berakibat pada kerugian keuangan secara
signifikan. Organisasi juga memerlukan pengendalian untuk pelanjutan (resumption)
cepat dari operasi normal setelah ada kejadian yang mengganggu sistem.
a. Meminimalkan Risiko Penghentian Sistem
Penggunaan komponen-komponen yang berulang menyediakan toleransi
kesalahan untuk terus berfungsi ketika ada komponen tertentu yang gagal. Teknik
toleransi kesalahan (fault tolerance) yang mencatat data di berbagai disk drive tidak
hanya satu untuk mengurangi risiko kehilangan data disebut redundant arrays of
independent drives (RAID). Pemasangan program anti spy-ware penting untuk
mencegah adanya perangkat lunak yang berbahaya.
b. Pemulihan dan Penerusan Operasi Normal
Pengendalian preventif tidak dapat mengurangi risiko penghentian sistem secara
keseluruhan. Kegagalan perangkat dapat menyebabkan data yang diperlukan tidak dapat
diakses. Untuk itu, diperlukan prosedur backup yang sesuai. Backup sendiri berarti
salinan file atau program perangkat lunak. Namun, masih ada beberapa hal yang
menyebabkan hancurnya seluruh sistem informasi, termasuk backup.
Meskipun demikian, backup hanya memusatkan ketersediaan data dan perangkat
lunak. Bencana alam atau tindakan teroris tidak hanya dapat menghancurkan data, tetapi
juga seluruh sistem informasi. Maka organisasi juga memerlukan rencana pemulihan
bencana dan kelangsungan bisnis (DRP-Disaster Recovery Plans dan BCP-Business
Continuity Plans).
Banyaknya diciptakan ulang dokumen sumber atau yang berpotensi kehilangan
diperlukan recovery point objective (RPO) untuk menentukan tujuan titik pemulihan
organisasi. RPO sendiri adalah jumlah data yang dimiliki organisasi untuk dimasukkan
kembali. Semakin kecil RPO, semakin sering backup dibuat.
Organisasi dapat berfungsi tanpa sistem informasi ditentukan oleh recovery time
objective (RTO) tujuan waktu pemulihan organisasi. RTO adalah waktu maksimum
yang tertoleransi dalam mengembalikan sistem informasi organiasi setelah terjadi
bencana, jangka waktu yang diupayakan organisasi untuk berfungsi tanpa sistem
informasi.
9
pulih dari masalah tapi untuk ketahanan. Ketahanan maksimum diperoleh melalui real
time monitoring yang melibatkan pemeliharaan dua salinan dari satu database pada dua
pusat data terpisah dan memperbarui salinan tersebut secara real time setiap transaksi
terjadi.
Backup incremental, penyalinan hanya pada item data yang telah berubah sejak
backup parsial. Backup incremental memproduksi set up file backup incremental
masing-masing mengandung hasil dari transaksi satu hari.
Backup diferensial, penyalinan seluruh perubahan yang dibuat sejak backup penuh
terakhir. Setiap file backup diferensial yang baru memuat efek kumulatif dari
aktivitas sejak full backup terakhir.
Tidak peduli prosedur backup mana yang digunakan, barbagai salinan backup
harus dibuat. Satu salinan dapat disimpan ditempat, untuk digunakan dalam kejadian
atas masalah-masalah yang relative minor, seperti kegagalan atas hard drive. dalam
kejadian atas sebuah masalah-masalah yang lebih serius, seperti kebakaran atau banjir,
semua salinan backup yang disimpan ditempat mungkin akan hancur atau tidak dapat
diakses. Oleh karena itu, sebuah salinan backup kedua perlu disimpan diluar tempat.
File backup ini dapat dikirimkan ketempat situs penyimpanan jarak jauh baik secara
fiisik (misalnya, dengan kurir) atau secara elektronik dalam kasus lainnya, pengendalian
keamanan yang sama perlu diterapkan pada file backup yang digunakan untuk
melindungi salinan asli informasi tersebut. Ini berarti bahwa salinan backup atas data
sensitive harus dienkripsi baik dalam penyimpanan maupun selama transimis elektronik.
Akses terhadap file backup juga perlu dikendalikan dan diawasi dengan cermat.
d. Perencanaan Pemulihan Bencana dan Kelangsungan Bisnis
Sejumlah backup didesain untuk mengatasi masalah-masalah ketika satu atau lebih
file atau database rusak karena kesalahan perangkat keras, perangkat luna, dan manusia.
DRP dan BCP didesain utnuk mengatasi masalah-masala yang lebih serius.
10
akibat kejadian hancurnya pusat data karena bencana alam atau tindakan terorisme.
Organisasi memiliki tigas pilihan dasar untuk mengganti infrastruktur TI-nya, termasuk
tidak hanya computer, tetapi juga komponen-komponen jaringan seperti router dan
switch, perangkat lunak, data, akses internet, printer, dan suplai. Pilihan pertama adalah
kontrak untuk menggunakan sebuah situs dingin (cold site), yang merupakan sebuah
bangunan kosong yang diberi kabel sebelumnya untuk akses telepon dan internet yang
memadai, ditambah kontrak dengan satu vendor atau lebih untuk menyediakan seluruh
peralatan yang diperlukan dalam satu periode waktu tertentu. Sebuah situs dingin masih
meninggalkan organisasi tanpa penggunaan sistem informasinya dalam satu periode
waktu, sehingga situs dingin ini hanya sesuai ketika RTO organisasi adalah satu hari
atau lebih. Pilihan kedua adalah kontrak untuk menggunakan sebuah situs panas (hot
site), yang merupakan sebuah fasilitas yang tidak hanya diberi kabel sebelumnya untuk
akses telepon dan internet, tetapi juga terdiri atas seluruh peralatan komputasi dan
peralatan kantor yang dibutuhkan organisasi untuk menjalankan aktivitas bisnis
pokoknya. Sebuah situs panas biasanya hasil dari sebuah RTO selama berjam-jam.
Masalah dengan situs dingin maupun situs panas adalah bahwa penyedia situs
biasanya menjual melebihi kapasitas, dengan asumsi bahwa dalam satu waktu hanya ada
beberapa klien yang akan perlu untuk menggunakan fasilitas tersebut. Asumsi ini
biasanya dijamin. Ketika terjadi sebuah kejadian atas bencana besar, seperti badai
katrika dan sandy yang memengaruhi seluurh organisasi dalam sebuah area geografis,
meski demikian, beberapa organisasi mungkin merasa bahwa mereka tidak dapat
memperoleh akses kesitus dingin dan panas mereka. Akibatnya, sebuah opsi pengganti
infrastruktur ketiga bagi organisasi dengan RTO yang sangat singkat adalah menetapkan
sebuah pusat data kedua sebagai sebuah backup dan menggunakannya untuk
mengimplementasikan real-time mirroring.
11
memiliki baik DRP dan BCP dapat menunjukkan perbedaan antara bertahan dari sebuah
kerusakan besar seperti badai atau serangan teroris dengan menghentikan bisnis.
12
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit
akan dilaksanakan. Langkah pertama adalah menetapkan lingkup dan tujuan audit. Tim
audit dengan pengalaman dan keahlian yang sesuai kemudian dibentuk. Tim menjadi
lebih dalam mengenali pihak yang diaudit (auditee) melalui diskusi dengan personil
tingkat supervisor dan operasional, melakukan tinjauan atas dokumentasi sistem, dan
memeriksa temuan-temuan audit sebelumnya.
Audit harus direncanakan sedemikian rupa agar sebagian besar kegiatan audit
berfokus pada area-area yang memiliki faktor-faktor risiko tertinggi. Terdapat 3 jenis
risiko audit:
1) Risiko bawaan (inherent risk) adalah kelemahan terhadap risiko material karena tidak
tersedianya pengendalian internal.
2) Risiko pengendalian (control risk) adalah risiko saat suatu salah saji material akan
melampaui struktur pengendalian internal ke dalam laporan keuangan.
3) Risiko deteksi (detection risk) adalah risiko saat para auditor dan prosedur auditnya
akan gagal mendeteksi sebuah kesalahan atau salah saji material.
Pengumpulan Bukti Audit
Berikut adalah cara-cara yang paling umum untuk mengumpulkan bukti audit:
Observasi atas aktivitas-aktivitas yang diaudit.
Pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau
sistem pengendalian internal tertentu harusnya berfungsi.
Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka
melakukan prosedur-prosedur tertentu.
Kuisioner untuk mengumpulkan data
Pemeriksaan fisik atas kuantitas dan/atau kondisi dari aset berwujud, seperti
peralatan dan persediaan
Konfirmasi (confirmation) atas ketepatan informasi, seperti saldo akun pelanggan,
melalui konfirmasi dengan pihak ketiga yang independen
Melakukan ulang (reperformance) atas perhitungan untuk memverifikasi informasi
kunatitatif.
Pemeriksaan bukti pendukung (vouching) untuk validitas dari sebuah transaksi
dengan memeriksa dokumen pendukung.
Tinjauan analitis (anaytical review) atas hubungan dan trend antar-informasi untuk
mendeteksi hal-hal yang seharusnya diselidiki lebih jauh.
13
Evaluasi atas Bukti Audit
Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti
tersebut mendukung kesimpulan atau tidak. Apabila kurang mendukung, auditor akan
merencanakan dan melaksanakan prosedur tambahan sampai bukti yang cukup dapat
dikumpulkan untuk membuat kesimpulan yang kuat.
Komunikasi Hasil Audit
Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan
audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak
lain yang berkepentingan. Kemudian, para auditor melaksanakan penelitian lanjut untuk
memastikan bahwa rekomendasi mereka telah diimplementasikan.
Pendekatan Audit Berbasis-risiko
Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasis-
risiko, memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
1) Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
2) Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau
memperbaiki ancaman.
3) Mengevaluasi prosedur pengendalian.
4) Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis,
waktu, atau tingkatan prosedur pengauditan.
Tujuan dari audit sistem informasi adalah untuk memeriksa dan mengevaluasi
pengendalian internal yang melindungi sistem. Ketika melakukan audit sistem
14
informasi, para auditor seharusnya memastikan bahwa enam tujuan berikut telah
dicapai.
1) Ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi,
dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
2) Pengembangan dan akuisisi program dilakukan sesuai dnegan otorisasi umum dan
spesifikasi manajemen.
3) Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4) Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan
lengkap.
5) Data sumber yang tidak tepat atau tidak diotorisasi dengan benar didentifikasi dan
ditagani berdasarkan kebijakan manajerial yang telah ditentukan.
6) File-file data komputer tepat, lengkap dan rahasia.
Komponen – Komponen Sistem Informasi dan Tujuan Audit Terkait.
15
Tujuan 2 : Pengembangan Program dan Akuisisi
Peran auditor dalam pengembangan sistem sebatas pada pemeriksaan independen
atas aktivitas-aktivitas pengembangan sistem, tidak diperbolehkan membantu
pengembangan sistem.
Dua hal yang dapat menjadi kesalahan dalam pengembangan program: (1)
kelalaian pemrograman yang berkaitan dengan kurangnya pemahaman tentang
spesifikasi sistem atau pemrograman yang teledor, dan (2) instruksi yang tidak
diotorisasi dengan sengaja disisipkan dalam program.
Tujuan 3 : Modifikasi Program
Ketika sebuah perubahan program disampaikan untuk memperoleh persetujuan,
sebuah daftar atas seluruh perbaruan yang diperlukan harus dikumpulkan serta disetujui
oleh manajemen dan pengguna program. Bagian penting dari pengujian pengendalian
adalah memverifikasi bahwa perubahan progran telah diidentifikasi, didaftar, disetujui,
diuji dan didokumentasikan.
Terdapat tiga cara auditor untuk menguji perubahan program yang tidak
diotorisasi:
1) Setelah menguji sebuah program baru, auditor menyimpan salinan dari kode
sumbernya. Auditor menggunakan sebuah program perbandingan kode sumber
(source code comparison program) untuk membandingkan versi terkini dari program
dengan kode sumber. Jika tidak ada perubahan yang diotorisasi, dua versi tersebut
haruslah sama.
2) Dalam teknik pemrosesan ulang (reprocessing), auditor memproses ulang data
menggunakan kode sumber dan membandingkan output-nya dengan ouput
perusahaan.
3) Dalam simulasi pararel (parallel simulation), auditor menuliskan sebuah program
bukannya menggunakan kode sumber, membandingkan output, dan menyelidiki
segala perbedaan.
Tujuan 4 : Pemrosesan Komputer
Selama pemrosesan komputer, sistem mungkin gagal mendeteksi input yang salah,
tidak memperbaiki kesalahan input yang benar, memproses input yang salah, atau tidak
mendistribusikan atau mengungkapkan output dengan tepat.
Beberapa teknik khusus digunakan untuk menguji pengendalian pemrosesan,
masing-masing memiliki kelebihan dan kekurangannya sendiri.
Pengolahan data pengujian
16
Sumber daya berikut ini berguna ketika mempersiapkan pengujian data.
Sebuah daftar atas transaksi-transaksi aktual.
Transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program.
Sebuah tes pembuatan data (test data generator), yang menyiapkan data pengujian
berdasarkan spesifikasi program
Pemrosesan transaksi pengujian memiliki dua kelemahan. Pertama, auditor harus
menghabiskan waktu yang cukup banyak untuk memahami sistem dan menyiapkan
transaksi-transaksi pengujian. Kedua, auditor harus memastikan bahwa data pengujian
tidak memengaruhi file dan database perusahaan.
Teknik-teknik audit bersamaan
Para auditor menggunakan teknik audit bersamaan (concurrent audit
techniquies) untuk secara terus menerus mengawasi sistem dan mengumpulkan bukti-
bukti audit sementara data asli (Live data) diproses selama jam pengoperasian
reguler.
Para auditor biasanya menggunakan lima teknik audit bersama berikut.
1) Integrated test facility (ITF) menyisipkan catatan-catatan fiktif yang
mempresentasikan divisi, departemen, pelanggan, atau pemasok fiktif dalam file
induk perusahaan
2) Teknik snapshot (snapshot technique), transaksi-transaksi yang terpilih ditandai
dengan kode khusus.
3) Systemcontrol audit review file (SCARF) menggunakan modulaudit yang
dilekatkan untuk terus menerus mengawasi aktivitas transaksi, mengumpulkan
data dalam transaksi dengan signifikansi audit khusus, serta menyimpannya dalam
sebuah file SCARF atau log audit (audit log).
4) Audit Hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-
transakti yang dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi.
5) Continuous and integrated simulations (CIS) melekatkan sebuah modul audit
dalam sebuah sistem manajemen database yang menguji seluruh transaksi yang
memperbaruai database menggunakan kriteria serupa dengan SCARF.
Analisis atas logika program
Para auditor menganalisis pengembangan, pengoperasian, dan pendokumentasian
program demikian juga pada cetakan dari kode sumber. Auditor juga menggunakan
paket-paket perangkat lunak berikut:
17
Program bagan alir otomatis mengartikan kode sumber dan menghasilkan
sebuah bagan alir program.
Program tabel keputusan otomatis mengartikan kode sumber dan menghasilkan
tabel keputusan.
Rutinitas pemindaian mencari sebuah program untuk seluruh kejadian atas
komponen-komponen tertentu.
Program pemetaan dapat menemukan kode program yang disisipkan oleh
seorang pemogram jahat untuk menghapus seluruh file komputer.
Penelusuran program membantu mendeteksi perintah program yang tidak
diotorisasi, path logika yang salah, dan kode program yang tidak dilakukan.
Tujuan 5 : Data Sumber
Matriks pengendalian input digunakan untuk mendokumentasikan pemeriksaan
pengendalian data sumber. Matriks dalam gambar menunjukan prosedur-prosedur
pengendalian yang diterapkan pada setiap field catatan input.
Matriks Pengendalian Input
Nama terakhir
Ode transaksi
Jam reguler
Jam lembur
Pengendalian Input
Total finansial
Total hash √ √ √
Hitungan catatan Ya
18
Turnaround document Tidak
Program edit Ya
Pengecekan urutan √
Pengecekan field √ √
Pengecekan tanda
Pengecekan validitas √ √ √ √
Pengecekan batas √ √
Pengecekan ketermasukan √ √
Pengecekan kelengkapan √ √ √ √
Prosedur limpahan
Lainnya:
19
b) Pemeriksaan Lapangan (Field Work)
Untuk tahap ini, yang harus dikerjakan adalah mengumpulkan informasi yang
dilakukan dengan cara mengumpulkan data dengan para pihak yang berhubungan.
Hal ini bisa dilakukan dengan cara penerapan metode pengumpulan data, seperti
dengan wawancara, kuisioner, atau survey.
c) Pelaporan (Reporting)
Jika sudah mengumpulkan data, maka akan diperoleh data yang akan diproses
untuk dihitung menurut perhitungan maturity level. Pada tahapan ini, pemberian
informasi akan dilakukan dalam bentuk dari hasil-hasil audit.
d) Tindak Lanjut (Follow Up)
Pada tahapan ini, pemberian laporan hasil audit dilakukan dalam bentuk
rekomendasi tindakan perbaikan kepada pihak manajemen objek manajemen yang
diteliti, untuk kemudian wewenang perbaikan menjadi tanggung jawab manajemen
objek yang diteliti apakah akan diterapkan atau hanya menjadi acuan untuk perbaikan
di masa yang akan datang.
20
BAB III
PENUTUP
3.1 Kesimpulan
Pengendalian integritas pemrosesan terdiri atas pengendalian input, pengendalian
entri data, pengendalian tambahan entri data, pengendalian pemrosesan, dan
pengendalian input. Pengendalian ini bertujuan untuk memastikan sistem dapat
menghasilkan informasi yang akurat, lengkap, dan valid. Sedangkan, ketersediaan
penting untuk memastikan informasi tersedia setiap saat dibutuhkan penggunanya,
dengan meminimalkan risiko penghentian sistem, pemulihan dan penerusan operasi
normal, serta backup data.
Gangguan dalam proses bisnis yang dikarenakan tidak tersedianya sistem atau
informasi dapat menyebabkan kerugian keuangan yang signifikan. Ketersediaan sistem
dan informasi mustahil untuk sepenuhnya mengeliminasi risiko penghentian. Oleh
karena itu, organisasi juga perlu memiliki pengendalian yang didesain untuk
memungkinkan pelanjutan (resumption) cepat dari operasi normal setelah ada kejadian
yang mengganggu ketersediaan sistem.
Audit Sistem Informasi adalah proses pengumpulan dan penilaian bukti-bukti
untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara
integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumber daya secara efisien.
Sifat pengauditan dengan tinjauan menyeluruh dari proses audit dapat dibagi
dalam empat tahap: perencanaan, pengumpulan bukti, pengevaluasian bukti, dan
pengomunikasian hasil audit. Pendekatan evaluasi pengendalian internal yang disebut
pendekatan audit berbasis-risiko yakni untuk menjalankan audit sistem informasi,
21
sehingga dapat menentukan ancaman, mengidentifikasi prosedur pengendalian,
mengevaluasi prosedur pengendalian dan mengevaluasi kelemahan pengendalian agar
dapat menentukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengauditan.
22
DAFTAR PUSTAKA
Ari, Muklis., dan Andika Triangga. 2021. Audit Sistem Informasi. Malang: Universitas
Brawijaya.
Rahmawati, dkk. 2019. Makalah Sistem Informasi Akuntansi II: Pengendalian Integritas
Pemrosesan dan Ketersediaan. Palu: STIE Panca Bhakti.
Romney B, Marshall. Steinbart, Paul John. 2016. Sistem Informasi Akuntansi, Edisi 13.
Jakarta Selatan: Salemba Empat.
Ferry Gunawan, dkk. 2016. Tugas Kelompok Sistem Informasi Akuntansi: Pengauditan
Sistem Informasi Berbasis Komputer. Fakultas Ekonomi dan Bisnis, Universitas
Trisakti.
Arens, Alvin A., dan Loebbecke, James K., 2003. Auditing: An Integrated Approach. Edisi
Sembilan. New Jersey: Prentice Hall International, Inc.
Weber, Ron, 1999. Information System Control and Audit. Prentice Hall.
Gallegos, Frederick, 1987. Audit and Control of Information System. South-Western Publ.
23