Pengauditan

Sistem
Informasi
Berbasis Komputer
01
Khairunnisa Sabrina
(2105081027)
KELOMPOK 2
Mewah
02
(2105081015)

M. Fatahillah Al-Kariim
03
(2105081035)

Shabrina Fauziah
04 (2105081075)

Zaskia Tria Zikri Harahap

05
(2105081043)
 PENGAUDITAN INTERNAL

Pengauditan (auditing) adalah proses sistematik atas pemerolehan dan

pengevaluasian bukti mengenai asersi asersi tentang tindakan dan kejadian
ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan
kriteria yang ditetapkan.
Pengauditan internal (internal auditing) adalah sebuah aktivitas
independen, menjamin objektivitas serta konsultasi yang didesain untuk
menambah nilai serta meningkatkan efektivitas dan efisiensi organisasi,
termasuk membantu dalam desain dan implementasi dari sebuah sia.
 JENIS PENGAUDITAN INTERNAL

audit keuangan (financial audit)

audit sistem informasi (information

system)
JENIS
PENGAUDITAN
INTERNAL audit operasional (operational audit)

audit kepatuhan (compliance audit)

audit investigative (investigative audit)

 SIFAT PENGAUDITAN: TINJAUAN MENYELURUH
PROSES AUDIT
Tahapan Pengauditan :

Perencanaan Evaluasi bukti

audit audit

Pengumpulan Komunikasi
bukti audit hasil audit
TAHAP PENGAUDITAN: PERENCANAAN AUDIT
Menetapkan lingkup dan tujuan

Mengatur tim audit

Mengembangkan pengetahuan
atas operasi bisnis

Memeriksa hasil audit sebelumnya

Mengidentifikasi faktor faktor resiko

TAHAP PENGAUDITAN: PENGUMPULAN BUKTI AUDIT
Observasi

Pemeriksaan atas dokumentasi

Diskusi

Kuesioner

Pemeriksaan fisik

Konfirmasi (confirmation)

Melakukan ulang (reperformance)

Pemeriksaan bukti pendukung (vouching)

Tinjauan analitis (analytical review)

 TAHAP PENGAUDITAN: EVALUASI BUKTI AUDIT

Mengukur Kualitas pengendalian Intern

Mengukur realibitas informasi

Mengukur kinerja operasi

Mempertimbangkan kebutuhan bukti tambahan

Mempertimbangkan factor resiko

Mempertimbangkan factor materialitas

Mendokumentasikan temuan audit

TAHAP PENGAUDITAN: KOMUNIKASI HASIL AUDIT

Memformulasikan kesimpulan
audit

Membuat rekomendasi bagi

manajemen

Mempresentasikan hasil audit

kepada manajemen
 PENDEKATAN AUDIT BERBASIS RESIKO

Menentukan ancaman (penipuan dan kesalahan) yang

akan dihadapi perusahaan

Mengidentifikasi prosedur pengendalian yang

mencegah, mendeteksi atau memperbaiki ancaman

Mengevaluasi prosedur pengendalian.

Mengevaluasi kelemahan pengendalianuntuk

menentukan dampaknya dalam jenis, waktu atau
tingkatan prosedur pengauditan
AUDIT SISTEM INFORMASI
 TUJUAN 1 : KEAMANAN KOMPUTER
Jenis Kesalahan dan gangguan keamanan :
• Pencurian, kerusakan atas hardware
• Kehilangan, pencurian atau akses tidak sah pada program, file, data, atau penyebarluasan data
rahasia
• Modifikasi tanpa otorisasi atau penggunaan program atau file data

Jenis Prosedur Pengendalian :

• Rencana keamanan/Perlindungan Informasi
• Pembatasan atas akses fisik terhadap peralatan computer
• Pembatasan atas akses logis terhadap system menggunakan pengendalian pengesahan dan
otoritas

Prosedur Audit Sistem :

• Memeriksa dengan saksama pada situs computer
• Mewawancarai personel
• Meninjau kebijakan dan prosedur
• Memeriksa log akses, file backup, dan kebijakan asuransi
 TUJUAN 2 : PENGEMBANGAN PROGRAM
Jenis Kesalahan dan Penipuan :
• Kelalaian pemrograman
• Kode program yang tidak diotorisasi

Jenis Prosedur Pengendalian :

• Otorisasi manajemen atas pengembangan program dan persetujuan spesifikasi pemrograman
• Persetujuan User atas spesifikasi pemrograman
• Pengujian mendalam atas program baru dan pengujian penerimaan user
• Dokumentasi sistem lengkap

Prosedur Audit Sistem :

• Diskusi dengan manajemen, pengguna dan personel system informasi mengenai prosedur
pengembangan
• Pemeriksaan kebijakan, serta prosedur pengembangan/akuisisi system
• Pemeriksaan atas standar evaluasi pemrograman serta dokumentasi program dan system
 TUJUAN 3 : MODIFIKASI PROGRAM
Jenis Kesalahan dan Kecurangan :
• Kelalaian pemrograman
• Kode program yang tidak diotorisasi

Jenis Prosedur Pengendalian :

• Daftar komponen program yang dimodifikasi, dan otorisasi manajemen atas modifikasi program
• Persetujuan User atas perubahan spesifikasi program
• Pengujian mendalam perubahan program, termasuk tes penerimaan user

Prosedur audit Sistem :

• Diskusi atas kebijakan serta prosedur modifikasi dengan manajemen, pengguna, dan personal
sistem
• Pemeriksaan kebijakan, standar, dan prosedur modifikasi program
• Pemeriksaan standar dokumentasi untuk modifikasi sistem
• Pemeriksaan dokumentasi final atas modifikasi sistem, termasuk prosedur dan hasil pengujian
 TUJUAN 4 : PEMROSESAN KOMPUTER
Jenis kesalahan dan kecurangan :
• Kesalahan mendeteksi data masukan yang salah, tidak lengkap atau tidak sah.
• Kesalahan untuk memperbaiki kesalahan yang ditandai oleh prosedur editing data
• Memasukkan kesalahan ke dalam file atau database selama proses update

Jenis prosedur pengendalian :

• Prosedur editing data komputer
• Penggunaan yang tepat atas label file internal dan eksternal
• Prosedur perbaikan kesalahan yang efektif
• Listing perubahan file dan ringkasan disiapkan untuk dipelajari oleh departemen user

Cara pengendalian :
• Pengendalian user yang kuat
• Pengendalian data sumber yang efektif
 TUJUAN 5: DATA SUMBER
Kesalahan dan kecurangan :
• Data sumber yang tidak cukup
• Data sumber yang tidak sah

Jenis prosedur pengendalian :

• Otorisasi user atas input data sumber
• Penanganan yang efektif input data sumber oleh karyawan pengendalian data
• Mencata penerimaan, pergerakan, dan pemindahan atas input data sumber
• Penggunaan “turnaround documents”

Prosedur audit sistem :

• Mempelajari dokumentasi standar pengendalian data sumber
• Dokumentasi pengendalian data sumber menggunakan matriks pengendalian masukan /input control matrix
• Mempelajari dokumentasi sistem akuntansi untuk mengidentifikasi isi datasumber dan tahapan pemrosesan
dan pengendalian data sumber yangdigunakan
 TUJUAN 5: DATA SUMBER

Beberapa pengujian prosedur audit pengendalian :

• Observasi dan evaluasi pada departemen pengendaliandata
• Rekonsiliasi sampel batch totals dan tindak lanjut ataskesenjangan yang terjadi
• Pengujian sampel data sumber akuntansi untuk otorisasi yang benar

Beberapa cara pengendalian :

• Pengendalian pemrosesan yang kuat
• Pengendalian user yang kuat
 TUJUAN 6: FILE DATA

Beberapa jenis kesalahan dan kecurangan :

• Modifikasi yang tidak sah atau penyebarluasan data yangdisimpan
• Perusakan data yang disimpan karena kesalahan yang tidakdisengaja , kesalahan hardware atau
software dan tindakanyang disengaja seperti sabotase

Beberapa jenis prosedur pengendalian:

• Pengendalian update yang bersamaan
• Penggunaan yang tepat atas label file dan mekanisme “write-control”
• Penggunaan Software proteksi Virus
 PERANGKAT LUNAK AUDIT
Computer – assisted audit techniques (CAATs) mengacu pada perangkat lunak audit,
atau biasa disebut dengan Generalized Audit Software (GAS).

Berikut adalah beberapa penggunaan yang lebih penting atas CAATs :

a. Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu
b. Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file
c. Merangkum, menyortir, dan menyaring data
d. Mengakses data dalam format yang berbeda dan mengubah data ke dalam sebuah
format umum
e. Menguji catatan-catatan atas kualitas, kelengkapan, konnsistensi, dan kebenaran
 PERANGKAT LUNAK AUDIT

f. Pengujian atas risiko tertentu dan mengidentifikasi bagaimana pengendalian atas resiko
tersebut
g. Melakukan penghitungan, analisis statistis, dan operasi matematis lainnya
h. Melakukan pengujian analitis, seperti rasio dan tren, mencari pola data yang tidak diduga
atau tidak dijelaskan yang mungkin mengindikasikan penipuan
i. Mengindentifikasi kebocoran finansial, ketidakpatuhan atas kebijakan, dan kesalahan
pengolahan data
j. Merekonsiliasi perhitungan fisik dengan jumlah yang dikomputasi, menguji ketepatan kasir
atas peluasan dan saldo, menguji item-item Salinan
k. Memformat serta mengecek laporan dan dokumen
l. Membuat kertas kerja elektronik
 AUDIT OPERASIONAL SIA

Langkah pertama perencanaan audit.

Langkah selanjutnya adalah pengumpulan bukti, termasuk aktivitas-aktivitas
sebagai berikut :
• Memeriksa kebijakan dan dokumentasi pengoperasian
• Mengobservasi fungsi-fungsi dan aktivitas-aktivitas pengoperasian
• Mengonfirmasi prosedur-prosedur dengan manajemen dan personel
pengoperasian
• Memeriksa rencana serta laporan finansial dan pengoperasian
• Menguji ketepatan atas informasi pengoperassian
• Menguji pengendalian
 KASUS PENGAUDITAN SISTEM INFORMASI
KASUS 1 : Pencurian Dana dengan Kartu ATM Palsu

• Sekitar 400 juta yen (Rp.44 miliar) deposito di enam bank di Jepang telah ditarik oleh kartu-kartu ATM
palsu setelah informasi pribadi nasabah dibocorkan oleh sebuah perusahaan sejak Desember 2006
• Polisi menduga para tersangka kriminal itu menggunakan teknik pemalsuan baru untuk membuat
kartu ATM tiruan
• Pihak Kepolisian Metropolitan Tokyo meyakini kasus pemalsuan ATM ini sebagai ulah komplotan
pemalsu ATM yang besar
• Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan para
nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara 17–23 Oktober 2007
• Polisi yakin peristiwa serupa menimpa bank-bank lainnya
• Uniknya, tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya
• Dalam kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana
meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di
tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama.
• Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan untuk
mengakses informasi dalam ATM
 KASUS PENGAUDITAN SISTEM INFORMASI
• Sampai berita ini diturunkan, polisi masih menyelidiki teknik dan metode yang pelaku gunakan
dalam melakukan serangkaian pembobolan ATM tersebut
• Namun, polisi telah berhasil menemukan satu benang merah, yaitu dimana sebagian besar
pemilik rekening yang dibobol itu adalah anggota satu program yang dijalankan olah sebuah
perusahaan penjual produk makanan kesehatan yang berbasis di Tokyo.
 KASUS PENGAUDITAN SISTEM INFORMASI
KASUS 2 : Audit Keamanan Sistem Informasi Pada Instalasi Sistem Informasi
Management (Sim-Rs) Berdasarkan Standar ISO 27002 (Studi Kasus: Rumah Sakit
Umum Haji Surabaya)

Informasi :
1. Audit dilakukan pada Instalasi SIM-RS RSU Haji Surabaya.
2. Aplikasi sistem informasi yang di audit adalah Healthy Plus.
3. Standar pelaksanaan Audit Sistem Keamanan Informasi yang digunakan mengacu pada ISO 27002
4. Pelaksanaan Audit Sistem Keamanan Informasi di mulai dari bulan Maret sampai dengan Juli 2012.
5. Periode data yang digunakan untuk Audit Sistem Keamanan Informasi Januari sampai Agustus 2012.
6. Klausul yang digunakan sesuai kesepakatan dengan kepala Instalasi SIM-RS, yaitu:
Klausul 8: Keamanan Sumber Daya Manusia
Klausul 9: Keamanan Fisik dan Lingkungan
Klausul 11: Kontrol Akses
Klausul 12: Akuisisi Sistem Informasi Pembangunan dan Pemeliharaan
 KASUS PENGAUDITAN SISTEM INFORMASI

Diminta :
1. Bagaimana melaksanakan Audit Keamanan Sistem Informasi pada Instalasi SIM-RS RSU Haji
Surabaya berdasarkan standar ISO : 2005 untuk mencari temuan yang dapat menimbulkan risiko,
yaitu: tidak adanya keutuhan (Integrity) data, kerahasiaan (Confidentiality) data, keamanan sistem
informasi, kerusakan software dan gangguan terhadap tempat dan peralatan pemrosesan
informasi.
2. Bagaimana mengukur maturity level untuk mengetahui tingkat kedewasaaan, menganalisa hasil
wawancara dan kuesioner sehingga didapatkan temuan-temuan audit.
3. Bagaimana memberikan rekomendasi untuk menyelesaikan kendala tersebut