THE PROCESS OF AUDITING

INFORMATION SYSTEMS
Dr. Agnes Advensia C, SE, M.Si, CA, CPA
IS Audit, Financial Audit, and
Operational Audit
Financial Audit
 Kegiatan memperoleh dan mengevaluasi bukti tentang laporan-laporan entitas dengan
maksud agar dapat memberikan pendapat apakah laporan-laporan tersebut telah
disajikan secara wajar sesuai dengan kriteria yang telah ditetapkan, yaitu prinsip-
prinsip akuntansi yang berlaku umum (GAAP).
 Yusuf (2001:6) menyatakan audit atas laporan keuangan adalah salah satu bentuk jasa
atestasi yang dilakukan auditor. Dalam pemberian jasa ini, auditor menerbitkan laporan
tertulis yang berisi pernyataan pendapat apakah laporan keuangan telah disusun sesuai
dengan prinsip-prinsip yang berlaku umum.
 Dalam PSA No. 02 (IAI,2001:110.1) dinyatakan bahwa tujuan audit umum atas laporan
keuangan oleh auditor independen adalah untuk menyatakan pendapat atas kewajaran
dalam semua hal yang material, posisi keuangan, hasil usaha, dan arus kas yang sesuai
dengan prinsip akuntansi yang berlaku umum.
 Jenis Opini Audit:
 Pendapat wajar tanpa pengecualian (Unqualified Opinion)
 Opini Wajar Tanpa Pengecualian dengan Paragraf Penjelasan (Modified Unqualified Opinion)
 Pendapat wajar dengan pengecualian (qualified opinion)
 Pendapat tidak wajar (Adverse Opinion)
 Pernyataan tidak memberikan pendapat (Disclaimer of Opinion)
Operational Audit
 Kegiatan untuk memperoleh dan mengevaluasi bukti-bukti
tentang efisiensi dan efektivitas kegiatan operasi entitas
dalam hubungannya dengan pencapaian tujuan tertentu.
 Tiga perbedaan audit utama antar audit operasional dan
audit keuangan:
1. Tujuan audit,
2. Laporan Audit :
 Laporan Financial Audit adalah berupa pendapat (opini) auditor
secara independen dan obyektif tentang kewajaran laporan
keuangan sesuai dengan kriteria standar yang telah ditetapkan,
tanpa pemberian rekomendasi perbaikan
 Laporan Audit Operasional berisi kesimpulan dan rekomendasi
perbaikan
3. Audit operasional mencakup aspek keuangan dan non
keuangan
Information System Audit
 IS Audit : suatu proses formal untuk memeriksa,
melakukan interview dan/atau tes atas sistem
informasi, untuk menilai apakah:
1) Sistem informasi memenuhi peraturan, kontrak atau
panduan industri yang berlaku
2) Data dan informasi memenuhi level confidentiality,
integrity, dan avalability
3) Operasi sistem informasi memenuhi target efisiensi
dan efektivitas yang ditentukan
 IS Audit

Financial Operational
Audit Audit
Interelasi Financial & IS Audit Process
 Assess Control
 Test of controls is an audit test to test the effectiveness
of the client's internalcontrol system.
 Substantive procedures is an audit test to test the
reasonableness of items in the finincial statements.

 If the internal control is effective, then the auditor will

use more test of controls and less substantive tests.
Jenis Teknik Audit Berbantuan Komputer (TABK) /
Computer Assissted Audit Techniques (CAATs)

1. Audit Around the computer

2. Audit Through the computer :
 use of test data,
 integrated test facility and parallel simulation to test programs,
 uses of audit techniques to validate computer programs,
 use of logs to review systems software,
 use of documentation and CAATs to validate user accounts and
access privileges and use of embedded audit modules to
achieve continuous auditing
3. Audit With the computer : audit forensik/fraud dengan
bantuan komputer/software  yang diaudit datanya,
bukan sistemnya

Merupakan definisi audit SI lama. Audit SI sekarang lingkupnya lebih luas

MANAGEMENT OF THE IS AUDIT FUNCTION
Organization of The IS Audit Function
 Internally provided audit services
 Sebagai bagian dari Internal Audit : sebagai grup
independen atau terintegrasi dalam fungsi audit keuangan
dan operasional
 Pembentukan fungsi IS audit dinyatakan dalam dokumen
yang disahkan oleh BOD dan Audit Committee (jika tidak
ada  level manajemen tertinggi):
 Audit Charter (piagam Audit) : merupakan dokumen menyeluruh
yang mencakup keseluruhan lingkup audit (menjelaskan scope,
responsibility, authority, dan accountability dari fungsi audit SI)
 Engagement Letter : fokus pada pekerjaan audit tertentu (partial)
 Externally provided audit services
 Dilakukanoleh pihak luar
 Dokumen : kontrak

 Baik intenal maupun eksternal keduanya harus

independen dan melaporkan kepada Audit
Committee (jika ada) atau level manajemen
tertinggi
IS Audit Resource Management
 Teknologi SI terus berkembang
 Resources:
1) SDM  Terus menerus menjaga kompetensi SDM :
Update skill, continuing professional education.
Perencanaan staff training disusun dan dievaluasi
secara periodik.
2) Other resources  tools, methodology, work program
IT Governance Institusion
ISACA
 ISACA is an international professional association focused on IT governance
 SACA originated in United States in 1967,[2] when a group of individuals working on auditing
controls in computer systems started to become increasingly critical of the operations of their
organizations. They identified a need for a centralized source of information and guidance in
the field. In 1969, Stuart Tyrnauer, an employee of the (then) Douglas Aircraft Company,
incorporated the group as the EDP Auditors Association (EDPAA).[4] Tyrnauer served as the
body's founding chairman for the first three years. In 1976 the association formed an
education foundation to undertake large-scale research efforts to expand the knowledge of
and value accorded to the fields of governance and control of information technology.
 The association became the Information Systems Audit and Control Association in 1994.[5]
 By 2008 the organization had dropped its long title and branded itself as ISACA.[6]
Audit Planning
 Annual Planning & Individual Audit Assigments
 Step:
 Pahami bisnis (visi, misi, tujuan, strategi bisnis dan strategi SI, proses
bisnis, termasuk kebutuhan informasi dan teknologi informasi)
 Pahami perubahan dalam lingkungan bisnis
 Review pekerjaan audit sebelumnya
 Pelajari kebijakan, prosedur, standar, struktur organisasi
 Lakukan analisis risiko untuk membantu mendesain audit plan
 Tentukan lingkup dan tujuan audit
 Susun pendekatan audit atau strategi audit
 Susun penempatan personil dan sumberdaya lain yang diperlukan
 Pemahaman bisnis diperoleh dengan:
 Baca/pelajari berbagai sumber: annual report, laporan
analis independen, publikasi2 terkait industri, dsb
 Review laporan audit terdahulu
 Review rencana strategik bisnis dan IT
 Interview manajer2 kunci untuk memahami isu2/problem
bisnis
 Identifikasi peraturan spesifik terkait IT
 Identifikasi fungsi2 IT atau aktivitas yang di-outsourcing
 Tinjau fasilitas kunci organisasi
Effect of Laws and Regulations on IS Audit
Planning
 Berbagai peraturan yang dapat mempengaruhi
bagaimana data diproses, dikirim, disajikan, dan
disimpan.
 Undang-undang (misal: UU ITE / Informasi dan
Transaksi Elektronik)
 Aturan Bapepam, OJK dan Bank Indonesia

 dst

TUGAS : Baca dan buat ringkasan UU ITE dan analisis

dampaknya bagi masyarakat umum dan bagi perusahaan
ISACA IS AUDIT AND ASSURANCE STANDARD
AND GUIDELINES
ISACA CODE OF PROFESSIONAL ETHICS

1. Support the implementation of, and encourage compliance with, appropriate standards and
procedures for the effective governance and management of enterprise information systems
and technology, including: audit, control, security and risk management.
2. Perform their duties with objectivity, due diligence and professional care, in accordance with
professional standards.
3. Serve in the interest of stakeholders in a lawful manner, while maintaining high standards of
conduct and character, and not discrediting their profession or the Association.
4. Maintain the privacy and confidentiality of information obtained in the course of their
activities unless disclosure is required by legal authority. Such information shall not be used
for personal benefit or released to inappropriate parties.
5. Maintain competency in their respective fields and agree to undertake only those activities
they can reasonably expect to complete with the necessary skills, knowledge and
competence.
6. Inform appropriate parties of the results of work performed including the disclosure of all
significant facts known to them that, if not disclosed, may distort the reporting of the results.
7. Support the professional education of stakeholders in enhancing their understanding of the
governance and management of enterprise information systems and technology, including:
audit, control, security and risk management.
 Kegagalan mematuhi Kode Etik Profesional ini
dapat mengakibatkan penyelidikan atas perilaku
anggota atau pemegang sertifikat dan, pada
akhirnya, dalam tindakan disipliner
ISACA
IS Audit and Assurance Standars
1. GENERAL
 Audit Charter / Audit Engagement
 Organisational Independence : fungsi audit
(kelembagaan) independen
 Professional Independence : independen dan objektif
(individual)
 Reasonable Expectation : reasonable vs absolut (max
expectation)
 Due Professional Care : taat pada standar profesional
yang berlaku
 Proficiency : kecakapan dalam melaksanakan audit,
update kecakapan melalui education & training
ISACA IS Audit and Assurance Standars
2. PERFORMANCE
 Engagement Planning (lingkup, tujuan, waktu, sumber daya)
 Risk Assessment in Planning
 Performance and Supervision
 Materiality
 Kelemahan yg berdampak signifikan
 Akumulasi dari kelemahan yg berdampak kecil
 Pengungkapan : tidak adanya kontrol, penyimpangan kontrol, probabilitas
risiko dari kelemahan kontrol yg ada
 Evidence  cukup/layak
 Using the Work of Other Experts
 Irregularities and Illegal Acts  melakukan audit dengan professional
sceptism, laporkan pihak ketiga jika ada temuan irregularities/illegal
acts
 Sampling
ISACA IS Audit and Assurance Standars

3. REPORTING
 Reporting
 Follow-Up Activities
Audit SI dalam framework COBIT

 Tujuan Tata Kelola SI

– Direct IT for optimal advantage
– Measure the value provided by IT
– Manage IT-related risks
Model Mekanisme Audit SI
 Control Self-Assestment
 Integrated Audit
 Continuos Auditing