MAKALAH

PENGAUDITAN SISTEM INFORMASI

BERBASIS KOMPUTER

3C ASP
KELOMPOK 6 :
1. Felin Orpa Lusi
2. Fiola Petronela Kono
3. Theresia Kapitan

Politeknik Negeri Kupang

Jl. Adi sucipto Penfui, Kupang Nusa Tenggara Timur
2023

i
 KATA PENGANTAR

Puji dan Syukur Penulis Panjatkan ke Hadirat Tuhan Yang Maha Esa karena berkat
Rahmat dan Karunia-Nya sehingga penulis dapat menyusun makalah ini tepat pada
waktunya. Makalah ini membahas tentang Pengauditan Sistem Informasi Berbasis Komputer.
Dalam penyusunan makalah ini, penulis banyak mendapat tantangan dan hambatan akan
tetapi dengan bantuan dari berbagai pihak tantangan itu bisa teratasi. Oleh karena itu, penulis
mengucapkan terima kasih yang sebesar-besarnya kepada semua pihak yang telah membantu
dalam penyusunan makalah ini, semoga bantuannya mendapat balasan yang setimpal dari
Tuhan Yang Maha Esa. Penulis menyadari bahwa makalah ini masih jauh dari kesempurnaan
baik dari bentuk penyusunan maupun materinya. Kritik konstruktif dari pembaca sangat
penulis harapkan untuk penyempurnaan makalah selanjutnya. Akhir kata semoga makalah ini
dapat memberikan manfaat kepada kita sekalian.

Kupang, 12 November 2023

Penulis

ii
 DAFTAR ISI

Kata Pengantar .............................................................................................................................. i

Daftar Isi ....................................................................................................................................... ii
BAB I Pendahuluan .................................................................................................................... 1
Latar Belakang .............................................................................................................................. 1
Rumusan Masalah ......................................................................................................................... 2
Tujuan Penulisan ........................................................................................................................... 2
BAB II Pembahasan .................................................................................................................. 3
A. Pengauditan sistem informasi berbasis komputer. ................................................................... 3
B. Tinjauan menyeluruh dari proses pengauditan ....................................................................... 4
C. Pendekatan audit berbasis risiko ............................................................................................. 6
D. Audit sistem informasi ............................................................................................................ 7
E. Perangkat Lunak Audit ............................................................................................................ 14
F. Audit Operasional SIA ............................................................................................................. 15
Kesimpulan .................................................................................................................................. 17
Daftar Pustaka .............................................................................................................................. 18

iii
 Bab I
Pendahuluan
1. Latar belakang
Di era digital yang terus berkembang pesat, peran sistem informasi berbasis komputer dalam
mendukung operasional dan pengelolaan informasi organisasi menjadi semakin penting. Sistem
informasi tidak hanya menjadi tulang punggung operasional perusahaan, tetapi juga menjadi penentu
keberhasilan dalam mencapai tujuan strategis. Namun, seiring dengan kompleksitas dan
ketergantungan yang semakin meningkat terhadap teknologi, muncul pula berbagai risiko dan
tantangan yang dapat membahayakan keberlanjutan dan keamanan sistem informasi tersebut.
Pentingnya keamanan dan keandalan sistem informasi berbasis komputer membuat praktik
pengauditan sistem informasi menjadi krusial dalam lingkungan bisnis modern. Pengauditan sistem
informasi bukan hanya sekadar langkah pencegahan terhadap potensi risiko, tetapi juga merupakan
proses penting untuk memastikan integritas, kerahasiaan, dan ketersediaan data yang menjadi fondasi
bagi pengambilan keputusan. Melalui pengauditan sistem informasi, perusahaan dapat
mengidentifikasi, mengevaluasi, dan mengelola risiko-risiko yang terkait dengan teknologi informasi,
sehingga dapat menjaga kepercayaan pemangku kepentingan dan memastikan kelangsungan
operasional yang optimal.
Dalam konteks ini, makalah ini akan membahas secara mendalam tentang pengauditan sistem
informasi berbasis komputer. Dari pemahaman konsep dasar pengauditan hingga implementasi
praktik pengauditan yang efektif, makalah ini bertujuan untuk memberikan wawasan yang
komprehensif mengenai peran penting pengauditan dalam memastikan keamanan, integritas, dan
ketersediaan sistem informasi. Selain itu, makalah ini juga akan mengulas tren terkini dalam
pengauditan sistem informasi dan relevansinya terhadap dinamika lingkungan teknologi informasi
yang terus berkembang. Dengan demikian, pembaca diharapkan dapat memperoleh pemahaman yang
lebih baik tentang signifikansi pengauditan sistem informasi berbasis komputer sebagai strategi
proaktif dalam mengatasi risiko dan menjaga keandalan operasional organisasi di era digital ini.

1
2. Rumusan Masalah
a. Apa itu pengauditan sistem informasi berbasis komputer ?
b. Bagaimana tinjauan menyeluruh proses pengauditan ?
c. Apa saja pendekatan audit berbasis resiko?
d. Bagaimana audit sistem informasi ?
e. Apa saja perangkat lunak audit ?
f. Apa itu audit operasional SIA ?
3. Tujuan
a. Memahami apa itu pengauditan sistem informasi berbasis komputer
b. Memahami tinjauan menyeluruh proses pengauditan
c. Memahami apa itu pendekatan audit berbasis resiko
d. Memahami audit sistem informasi
e. Memahami apa saja perangkat lunak audit
f. Memahami apa itu audit operasional SIA

2
 Bab II
Pembahasan
A. Pengauditan sistem informasi berbasis komputer
Pengauditan (auditing) adalah proses sistematik atas pemerolehan dan pengevaluasian bukti
mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa
baik kesesuaiannya dengan kriteria yang ditetapkan. Hasil dari audit kemudian dikomunikasikan
kepihak-pihak yang berkepentingan. Pengauditan memerlukan perencanaan dan pengumpulan yang
cermal, pemeriksaan, serta dokumentasi dari bukti audit. Dalam mengembangkan rekomendasi,
auditor menggunakan kriteria yang ditetapkan, seperti prinsip prinsip pengendalian, sebagai sebuah
dasar untuk evaluasi. Banyak organisasi di Amerika Serikat yang mempekerjakan para auditor
internal untuk mengevaluasi operasi perusahaan. Pemerintah mempekerjakan auditor untuk
mengevaluasi kinerja manajemen dan kepatuhan terhadap kehendak legislatif. Departemen
Pertahanan mempekerjakan para auditor untuk memeriksa catatan keuangan perusahaan-perusahaan
dengan kontrak pertahanan. Perusahaan-perusahaan publik mempekerjakan auditor eksternal untuk
memberikan sebuah tinjauan independen atas laporan keuangan mereka.
Pengauditan internal (internal auditing) adalah sebuah aktivitas independen, menjamin objektivitas
serta konsultasi yang didesain untuk menambah nilai serta meningkatkan efektivitas dan efisiensi
organisasi, termasuk membantu dalam desain dan implementasi dari sebuah SIA. Pengauditan internal
membantu sebuah organisasi mencapai tujuannya dengan mengadakan sebuah pendekatan yang
sistematis dan disiplin untuk mengevaluasi serta meningkatkan efektivitas dari proses manajemen,
pengendalian, dan tata kelola risiko. Ada beberapa jenis berbeda dari audit internal:
1. Sebuah audit keuangan (financial audit) memeriksa keterandalan dan integritas dari transaksi-
transaksi keuangan, catatan akuntansi, dan laporan keuangan.
2. Sebuah sistem informasi (information system), atau audit pengendalian internal (internal
control madit) memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan
kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan aset Audit
tersebut biasanya mengevaluasi input dan output sistem, pengendalian pemrosesan, rencana
backup dan pemulihan, keamanan sistem, serta fasilitas komputer.
3. Sebuah audit operasional (operational audit) berkaitan dengan penggunaan secara ekonomis
dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
4. Sebuah audit kepatuhan (compliance audit) menentukan apakah entitas mematuhi hukum,
peraturan, kebijakan, dan prosedur yang berlaku. Audit ini sering menghasilkan rekomendasi
untuk meningkatkan proses dan pengendalian yang digunakan untuk memastikan kepatuhan
terhadap regulasi.
5. Sebuah audit investigatif (investigative audit) menguji kejadian-kejadian dari penipuan
(fraud) yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan
penyalahgunaan, atau aktivitas tata kelola yang buruk.

3
 Sebaliknya, auditor eksternal bertanggung jawab pada para pemegang saham perusahaan dan
biasanya berkaitan dengan pengumpulan bukti yang diperlukan untuk menyatakan sebuah opini pada
laporan keuangan. Mereka hanya secara tidak langsung memperhatikan efektivitas SIA dari sebuah
korporasi. Meski demikian, para auditor internal diwajibkan untuk mengevaluasi bagaimana strategi
audit dipengaruhi oleh penggunaan teknologi informasi (TI) sebuah organisasi. Para auditor eksternal
mungkin memerlukan kemampuan khusus untuk (1) menentukan bagaimana audit akan dipengaruhi
oleh TI, (2) menilai dan mengevaluasi pengendalian Tl, serta (3) mendesain dan menjalankan baik
pengujian atas pengendalian TI maupun pengujian substantif.
B. Tinjauan menyeluruh dari proses pengauditan
Audit dapat dibagi ke dalam empat tahap diantaranya: perencanaan, pengumpulan bukti,
pengevaluasian bukti, dan pengomunikasian hasil audit.
1. Perencanaan audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan
dilaksanakan. Langkah pertama adalah untuk menetapkan lingkup dan tujuan audit. Sebagai contoh,
audit pada sebuah perusahaan publik menentukan apakah laporan keuangannya disajikan dengan
wajar. Sebaliknya, sebuah audit internal mungkin memeriksa satu departemen tertentu atau aplikasi
komputer. Pemeriksaan ini mungkin berfokus pada pengendalian internal, informasi keuangan, kinerja
pengoperasian, atau beberapa kombinasi dari ketiganya.
Audit direncanakan, sehingga jumlah terbesar pekerjaan audit berfokus pada area dengan faktor-
faktor risiko tertinggi. Terdapat tiga jenis risiko audit:
1. Risiko bawaan (inherent risk) adalah kelemahan terhadap risiko material karena tidak
tersedianya pengendalian internal. Sebagai contoh, sistem yang menggunakan pemrosesan
secara online, jaringan, database, telekomunikasi, dan bentuk-bentuk lain dari teknologi maju
memiliki risiko bawaan lebih banyak dibandingkan sebuah sistem pemrosesan batch.
2. Risiko pengendalian (control risk) adalah risiko saat suatu salah saji material akan
melampaui struktur pengendalian internal ke dalam laporan keuangan. Sebuah perusahaan
dengan pengendalian internal yang lemah memiliki risiko pengendalian yang lebih tinggi
dibandingkan perusahaan dengan pengendalian yang kuat. Risiko pengendalian dapat
ditentukan dengan meninjau lingkungan pengendalian, menguji pengendalian internal. dan
mempertimbangkan kelemahan-kelemahan pengendalian yang didentifikasi dalam audit
sebelumnya serta mengevaluasi bagaimana mereka diperbaiki.
3. Risiko deteksi (detection risk) adalah risiko saat para auditor dan prosedur auditnya akan
gagal mendeteksi sebuah kesalahan atau salah saji yang material.
Untuk menyimpulkan tahap perencanaan, sebuah program audit disiapkan untuk menunjukkan
sifat, tingkat, dan waktu dari prosedur-prosedur yang diperlukan untuk mencapai tujuan audit
dan meminimalkan risiko audit. Sebuah anggaran waktu disiapkan, dan para anggota staf
ditugaskan untuk melakukan tahap-tahap audit tertentu.

4
2. Pengumpulan bukti audit
Sebagian besar upaya audit dihabiskan untuk mengumpulkan bukti. Karena banyak pengujian
audit tidak dapat dilakukan pada seluruh hal yang diperiksa, pengujian-pengujian tersebut biasanya
dilakukan pada basis sampel. Berikut adalah cara-cara yang paling umum untuk mengumpulkan bukti
audit:
 Observasi atas aktivitas-aktivitas yang diaudit (misalnya, menyaksikan bagaimana personel
pengendalian data menangani pekerjaan pengolahan data saat diterima)
 Pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau sistem
pengendalian internal tertentu harusnya berfungsi
 Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melakukan
prosedur-prosedur tertentu
 Komunikasi tertulis dengan pihak ketiga yang independen ma seperti saldo akus pelanggan
 Kuesioner untuk mengurapulkan data
 Pemeriksaan fisik atas kuantitas dan/atau kondisi dari aset berwujud, seperti peralatan
 dan persediaan
 reperformance Melakukan perhitungan lagi atk memverifikas informas
 wauching
 Membandingkan anta
 Konfirmasi (confirmation) atas ketepatan informasi, seperti saldo akun pelanggan, melalui
komunikasi dengan pihak ketiga yang independen
 Melakukan ulang (reperformance) atas penghitungan untuk memverifikasi informasi
kuantitatif (misalnya, menghitung ulang biaya depresiasi tahunan)

 Pemeriksaan bukti pendukung (vouching) untuk validitas dari sebuah transaksi dengan
memeriksa dokumen pendukung, seperti pesanan pembelian, laporan penerimaan, dan faktur
penjualan yang mendukung sebuah transaksi utang
 Tinjauan analitis (analytical review) atas hubungan dan trend antar-informasi untuk
mendeteksi hal-hal yang seharusnya diselidiki lebih jauh. Contohnya, seorang auditor toko
pengecer menemukan bahwa rasio atas piutang terhadap pendapatan terlalu tinggi. Sebuah
penyelidikan mengungkapkan bahwa manajer mengalihkan dana yang di kumpulkan untuk
kebutuhan pribadinya
 audit khusus biasanya memiliki gabungan prosedur audit. Sebagai contoh, sebuah audit
pengendalian internal menggunakan observasi, tinjauan dokumentasi, wawancara pegawai,
dan melakukan reperformance prosedur pengendalian. Sebuah audit keuangan pemeriksaan
fisik, konfirmasi, vouching, tinjauan analitis, dan melakuan Sebuah berfokus pada
reperformance perhitungan saldo akun.
3. Evaluasi atas bukti audit

5
 Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti tersebut mendukung
kesimpulan yang menguntungkan atau tidak. Jika tidak meyakinkan, auditor menjalankan prosedur-
prosedur tambahan untuk mencapai sebuah kesimpulan pasti. materialitas Jumlah kesalahan,
penipuan, atau pengatasan yang akan memengaruhi keputusan dan seorang penggana informasi
feuangan yang hati hati.
Karena kesalahan terdapat pada sebagian besar sistem, para auditor berfokus dalam mendeteksi
dan melaporkan kesalahan-kesalahan yang secara signifikan memengaruhi interpretasi manajemen
atas temuan audit. Menentukan materialitas (materiality), apa yang penting dan tidak penting dalam
audit, adalah sebuah masalah pertimbangan professional
Materialitas yang menekankan kewajaran atas laporan keuangan lebih penting bagi audit eksternal,
dibandingkan bagi audit internal, ketika fokus audit internal adalah kepatuhan terhadap kebijakan
manajemen.
Auditor mencari penjaminan memadai (reasonable assurance) bahwa tidak ada kesalahan material
yang ada dalam informasi atau proses yang diaudit. Oleh karena untuk mencari penjaminan penuh
memerlukan biaya yang sangat mahal, auditor memiliki beberapa risiko bahwa kesimpulan auditnya
salah, Ketika risiko bawaan atau pengendaliannya tinggi. auditor harus mendapatkan penjaminan yang
lebih besar untuk mengimbangi ketidakpastian dan risiko yang lebih besar.
Dalam seluruh tahapan audit, temuan dan kesimpulan didokumentasikan dalam kertas kerja audit.
Dokumentasi utamanya penting dalam tahapan evaluasi, ketika kesimpulan harus dicapai dan
didukung.
4. Komunikasi hasil audit
Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan
rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang
berkepentingan. Kemudian, auditor biasanya melakukan studi tindak lanjut untuk memastikan apakah
rekomendasi-rekomendasinya dilaksanakan.
C. Pendekatan audit berbasis risiko
Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasis-risiko,
memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan. Ini adalah
sebuah daftar dari penyalahgunaan dan perusakan yang secara kebetulan atau disengaja pada sistem
terbuka.
2.Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki
ancaman. Hal tersebut adalah seluruh pengendalian yang harus dipertimbangkan manajemen dan
yang harus diperiksa, diuji oleh auditor, untuk meminimalkan ancaman.
3. Mengevaluasi prosedur pengendalian. Pengendalian dievaluasi dalam dua cara:
a. Sebuah tinjauan sistem (system review) menentukan apakah prosedur pengendalian benar-benar
dilaksanakan.

6
b. Uji pengendalian (test of control) dilakukan untuk menentukan apakah pengendalian yang ada
berjalan seperti yang dikehendaki..
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu,
atau tingkatan prosedur pengauditan. Jika auditor menentukan bahwa risiko pengendalian terlalu
tinggi karena sistem pengendalian tidak memadai, auditor mungkin harus mengumpulkan lebih
banyak bukti, bukti yang lebih baik, atau bukti yang lebih tepat waktu. Kelemahan pengendalian
dalam satu area mungkin dapat diterima jika terdapat pengendalian kompensasi (conpensating
control) dalam area lainnya.
Pendekatan berbasis risiko memberikan para auditor sebuah pemahaman yang lebih. jelas atas
penipuan dan kesalahan yang dapat terjadi serta risiko dan pengungkapan yang terkait. Pendekatan ini
juga membantu mereka merencanakan bagaimana menguji dan mengevaluasi pengendalian internal,
serta bagaimana merencanakan prosedur-prosedur audit lanjutan. Hasilnya adalah sebuah dasar yang
kuat untuk mengembangkan rekomendasi bagi manajemen untuk bagaimana sistem pengendalian SIA
yang harus ditingkatkan.
D. Audit sistem informasi
Audit Sistem Informasi adalah proses evaluasi dan penilaian independen terhadap sistem
informasi suatu organisasi untuk memastikan keamanan, integritas, ketersediaan, dan efektivitas
informasi yang dihasilkan oleh sistem tersebut. Tujuan utama dari audit sistem informasi adalah untuk
mengidentifikasi potensi risiko dan memberikan keyakinan kepada manajemen bahwa sistem
informasi beroperasi dengan baik dan sesuai dengan kebijakan, standar, serta peraturan yang berlaku.
Saat melakukan audit sistem informasi, auditor harus memastikan bahwa tujuan berikut tercapai :
Tujuan 1 : Keamanan sistem informasi secara keseluruhan
Auditor memeriksa pengendalian keamanan dengan mengamati prosedur, memverifikasi bahwa
pengendalian dilaksanakan dan bekerja sesuai yang dikehendaki, menyelidiki kesalahan atau masalah
untuk memastikan mereka ditangan dengan benar, dan memeriksa segala pengujian yang dilakukan
sebelumnya.
Tujuan 2 : Pengembangan program dan akuisisi
Peran auditor dalam pengembangan sistem sebaiknya sebatas pada pemeriksaan independen atas
aktivitas-aktivitas pengembangan sistem. Untuk menjaga objektivitas, auditor tidak diperbolehkan
membantu pengembangan sistem.
Dua hal yang dapat menjadi kesalahan dalam pengembangan program: (1) kelalaian
pemrograman yang berkaitan dengan kurangnya pemahaman tentang spesifikasi sistem atau
pemrograman yang teledor, dan (2) instruksi yang tidak diotorisasi dengan sengaja disisipkan ke
dalam program.
Masalah-masalah tersebut dapat dikendalikan dengan meminta otorisasi serta persetujuan dari
manajemen dan pengguna, pengujian yang menyeluruh, serta dokumentasi yang tepat. Selama
tinjauan sistem, para auditor harus mendiskusikan prosedur pengembangan dengan manajemen,

7
pengguna sistem, dan personel sistem informasi. Mereka juga harus memeriksa kebijakan, prosedur,
standar, dan dokumentasi yang didaftar pada Tabel 11-2.
Untuk menguji pengendalian pengembangan sistem, para auditor harus mewawancarai para
manajer dan pengguna sistem, menguji persetujuan pengembangan, dan memeriksa catatan pertemuan
tim pengembangan. Auditor harus memeriksa seluruh dokumentasi terkait proses pengujian untuk
memastikan semua perubahan program telah diuji. Auditor dapat menguji spesifikasi pengujian, data
pengujian, dan mengevaluasi hasil pengujian, serta memastikan bagaimana masalah-masalah hasil
pengujian tak terduga dapat diatasi.
Pengendalian pemrosesan yang kuat mungkin dapat mengimbangi pengendalian pengembangan
yang tidak memadai jika auditor mendapatkan bukti persuasif atas kepatuhan dengan pengendalian
pemrosesan, menggunakan teknik-teknik seperti pengolahan data pengujian independen. Jika bukti ini
tidak didapatkan, auditor mungkin harus menyimpulkan bahwa terdapat sebuah kelemahan
pengendalian internal yang material dan risiko atas ancaman signifikan dalam program aplikasinya
tinggi.
Tujuan 3 : Modifikasi Program
Tabel 11-3 menyajikan sebuah kerangka kerja untuk pengauditan perubahan atas perangkat lunak
program dan sistem. Ancaman-ancaman yang terjadi dalam pengembangan program juga dapat terjadi
selama modifikasi program. Sebagai contoh, seorang pemrogram yang ditugaskan untuk
memodifikasi sistem penggajian perusahaannya menyisipkan sebuah perintah untuk menghapus
seluruh file perusahaan jika ia dipecat. Ketika dia dipecat, sistem tersebut akan rusak dan menghapus
file-file kunci.
Ketika sebuah perubahan program disampaikan untuk memperoleh persetujuan, sebuah daftar atas
seluruh perbaruan yang diperlukan harus dikumpulkan serta disetujui olch manajemen dan pengguna
program. Seluruh perubahan program harus diuji dan didokumentasikan. Selama proses perubahan,
program pengembangan harus dipisahkan dari versi produksinya. Setelah program yang dimodifikasi
disetujui, versi produksi menggantikan versi pengembangan.
Selama tinjauan sistem, para auditor harus mendiskusikan proses perubahan dengan manajemen
dan personel pengguna. Kebijakan, prosedur, dan standar untuk menyetujui, memodifikasi. menguji.
dan mendokumentasi perubahan harus diuji. Seluruh materi dokumentasi final untuk perubahan
program, termasuk prosedur dan hasil pengujian, harus diperiksa. Prosedur-prosedur yang digunakan
untuk membatasi akses logis terhadap program pengembangan harus diperiksa.
Bagian penting dari pengujian pengendalian adalah memverifikasi bahwa perubahan program telah
diidentifikasi, didaftar, disetujui, diuji, dan didokumentasikan. Auditor seharusnya memverifikasi
bahwa pemisahan pengembangan dan produksi program dipelihara serta perubahan- perubahan
diimplementasikan oleh seseorang yang independen atas fungsi pengguna dan pemrograman.
Pengembangan tabel pengendalian akses program diperiksa untuk memverifikasi bahwa hanya para
pengguna yang diotorisasi yang memiliki akses terhadap sistem.

8
 Para auditor harus menguji program secara mendadak untuk menjaganya dari seorang pegawai
yang menyisipkan perubahan-perubahan program yang tidak diotorisasi setelah audit diselesaikan dan
menghapuskan perubahan tersebut sebelum ke audit selanjutnya. Terdapat tiga cara auditor untuk
menguji perubahan program yang tidak diotorisasi:
1. Setelah menguji sebuah program baru, auditor menyimpan salinan dari kode sumbernya. Auditor
menggunakan sebuah program perbandingan kode sumber (source code comparison program) untuk
membandingkan versi terkini dari program dengan kode sumber. Jika tidak ada perubahan yang
diotorisasi, dua versi tersebut haruslah sama; segala perbedaan harus diselidiki. Jika perbedaannya
adalah sebuah perubahan yang diotorisasi, auditor menguji spesifikasi perubahan program untuk
memastikan babes perubahan diotorisasi dan digabungkan dengan benar.
2. Dalam teknik pemrosesan ulang, (reprocessing), auditor memproses ulung data menggunakan kode
sumber dan membandingkan output-nya dengan ourpad perusahaan Perbedaan yang terdapat dalam
output diselidiki.
3. Dalam simulasi paralel (parallel simulation), wadinor menuliskan sebuah program bukannya
menggunakan kode sumber, membandingkan autpat, dan menyelidiki segala perbedaan. Simulasi
paralel dapat digunakan untuk menguji sebuah program selama proses implementasi. Sebagai contoh,
Jason menggunakan teknik ini untuk mengup bagian dari sistem penggajian terbaru pada departemen
penjualan unilik SPP.
Untuk setiap perubahan program yang utama, auditor mengamati pengajian dan pelaksanaan,
memeriksa otorisasi dan dokumen, serta melakukan pengujian independen. Jika tahap ini dilewati dan
pengendalian perubahan program selanjutnya terbukti tidak memadai, tidak akan mungkin untuk
mengandalkan output program.
Jika pengendalian perubahan program tidak memenuhi, pengendalian kompensasinya adalah
perbandingan kode sumber, pemrosesan ulang, atau simulasi paralel yang dijalankan oleh auditor.
Pengendalian pemrosesan yang kuat, secara independen diuji oleh auditor, dapat mengompensasi
sebagian kekurangan tersebut. Meski demikian, jika kekurangan disebabkan oleh pembatasan yang
tidak memadai untuk akses file program, auditor harus sungguh- sungguh merekomendasikan
tindakan-tindakan untuk memperkuat pengendalian akses logis organisasi tersebut.
Tujuan 4 : Pemrosesan computer
Tabel 11-4 menyajikan sebuah kerangka kerja untuk pengauditan atas pemrosesan transaksi-
transaksi, file, dan catatan komputer terkait untuk memperbarui file dan database serta untuk
menghasilkan laporan.
Selama pemrosesan komputer, sistem mungkin gagal mendeteksi input yang salah. tidak
memperbaiki kesalahan input dengan benar, memproses input yang salah, atau tidak mendistribusikan
atau mengungkapkan output dengan tepat. Tabel 11-4 menunjukkan prosedur-prosedur pengendalian
untuk mendeteksi dan mencegah ancaman-ancaman tersebut, tinjauan sistem dan pengujian atas

9
pengendalian yang digunakan untuk memahami pengendalian, mengevaluasi kecukupannya, serta
menguji apakah pengendalian berfungsi dengan baik.
Para auditor secara periodik mengevaluasi ulang pengendalian pemrosesan untuk
memastikan keterandalan berlanjutnya. Jika mereka tidak puas, pengendalian pengguna dan data
sumber mungkin cukup kuat untuk mengimbangi. Jika tidak, terdapat sebuah kelemahan material, dan
langkah-langkah harus diambil untuk mengeliminasi kekurangan pengendalian.
Beberapa teknik khusus digunakan untuk menguji pengendalian pemrosesan, masing-
masing memiliki kelebihan dan kekurangannya sendiri. Tidak ada teknik yang efektif untuk seluruh
keadaan, semuanya lebih sesuai dalam beberapa situasi dan kurang sesuai di situasi lainnya. Para
auditor seharusnya tidak mengungkapkan teknik apa yang mereka gunakan. karena dengan
melakukannya mungkin akan mengurangi efektivitasnya. Masing-masing dari prosedur tersebut akan
dijelaskan.
PENGOLAHAN DATA PENGUJIAN Satu cara untuk menguji sebuah program adalah memproses satu
set hipotetis atas transaksi yang valid dan tidak valid. Program tersebut seharusnya memproses
seluruh transaksi valid dengan benar dan menolak sensua yang tidak valid, Seluruh pah logis harus
dicek dengan satu atau lebih transaksi-transaksi pengujian. Data yang tidak valid termasuk catatan
dengan data yang hilang, field-field yang memuat jumlah besar yang tidak rasional, nomor akun atau
kode pemrosesan yang tidak valid, data nonnumerik dalam field numerik, dan catatan yang di luar
urutan. Sumber daya berikut ini berguna ketika mempersiapkan pengujian data.
 Sebuah daftar atas transaksi-transaksi aktual
 Transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program
 perdutan dara Pangkat ko sang herdasarkan els progan meghan satu set data yang
 teknik audit bersamaan
 Sebuah tes pembuatan data (test data generator), yang menyiapkan data pengujian
berdasarkan spesifikasi program
Dalam sebuah sistem pemrosesan batch, program perusahaan dan salinan atas file-file yang
relevan digunakan untuk memgolah data pengujian. Hasilnya dibandingkan dengan output yang benar
yang ditentukan sebelumnya; perbedaan mengindikasikan kesalahan pemrosesan atau kekurangan
pengendalian untuk diselidiki. Dalam sebuah sistem online, para auditor memasukkan data pengujian
dan kemudian mengamati serta mencatat respons sistem. Jika sistem menerima transaksi pengujian
yang salah, auditor membalik efeknya ke transaksi, menyelidiki masalah, dan merekomendasikan agar
kekurangan sistem diperbaiki.
Pemrosesan transaksi pengujian memiliki dua kelemahan. Pertama, auditor harus menghabiskan
waktu yang cukup banyak untuk memahami sistem dan menyiapkan transaksi-transaksi pengujian.
Kedua, auditor harus memastikan bahwa data pengujian tidak memengaruhi file dan database
perusahaan. Auditor dapat membalik efek dari transaksi pengujian atau memproses transaksi-transaksi

10
dalam pelaksanaan terpisah menggunakan sebuah salinan dari file atau database. Meski demikian,
pelaksanaan terpisah menghapus beberapa keaslian yang diperoleh dari pengolahan data pengujian
menggunakan transaksi reguler. Karena prosedur pembalikan mungkin mengungkap keberadaan dan
jenis dari pengujian auditor kepada personel kunci, prosedur tersebut bisa menjadi kurang efektif
dibandingkan pengujian yang disamarkan.
TEKNIK-TEKNIK AUDIT BERSAMAAN Oleh karena transaksi-transaksi dapat diproses dalam
sistem online tanpa meninggalkan jejak audit, maka bukti yang dikumpulkan setelah data diproses
tidaklah cukup untuk tujuan audit. Selain itu, karena kebanyakan sistem online memproses transaksi
secara terus-menerus. maka akan sulit untuk menghentikan sistem guna melakukan pengujian-
pengujian audit. Oleh karena itu, para auditor menggunakan
Teknik audit bersamaan (concurrent audit techniques) untuk secara terus-menerus mengawasi
sistem dan mengumpulkan bukti-bukti audit sementara data asli (live data) diproses selama jam
pengoperasian reguler. Teknik-teknik audit bersama menggunakan modul audit yang dilekatkan
(embedded audit modules), yang merupakan segmen kode program yang menjalankan fungsi audit,
melaporkan hasil pengujian, dan menyimpan bukti yang dikumpulkan untuk tinjauan auditor. Teknik-
teknik audit bersamaan merupakan teknik yang memakan waktu dan sulit digunakan namun tidak
akan demikian bila digabungkan saat program dikembangkan. Para auditor biasanya menggunakan
lima teknik audit bersama sebagai berikut.
1. Sebuah integrated test facility (ITF) menyisipkan catatan-catatan fiktif yang merepresentasikan
divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan. Memproses
transaksi-transaksi pengujian untuk memperbaruinya tidak akan memengaruhi catatan aktual. Karena
catatan fiktif dan aktual diproses bersamaan. para pegawai perusahaan tidak menyadari pengujian
tersebut. Sistem membedakan catatan ITF dari catatan aktual, mengumpulkan informasi dari
transaksi-transaksi pengujian, dan melaporkan hasilnya. Auditor membandingkan data yang diproses
dengan hasil yang diharapkan untuk memverifikasi bahwa sistem dan pengendaliannya beroperasi
dengan benar. Dalam sebuah sistem pemrosesan batch, ITF mengeliminasi kebutuhan untuk
membalik transaksi pengujian. ITF secara efektif menguji sistem pemrosesan online. karena transaksi-
transaksi pengujian dapat sering dikirimkan, diproses dengan transaksi transaksi aktual, dan ditelusuri
melalui setiap tahap pemrosesan tanpa mengganggu operasi pemrosesan reguler. Auditor harus
berhati-hati untuk tidak mengombinasikan catatan palsu (dummy) dan catatan aktual selama proses
pelaporan
2. Dalam teknik snapshot (napshot technique), transaksi-transaksi yang terpilih ditandat dengan
sebuah kode khusus. Modul audit mencatat transaksi-transaksi tersebut beserta catatan file induknya
sebelum dan sesudah pemrosesan dan menyimpan data dalam sebuah file khusus. Auditor memeriksa
data untuk memverifikasi bahwa seluruh tahapan pemrosesan dieksekusi dengm layak.
3. System control audit review file (SCARF) menggunakan modul audit yang dilekatkan untuk
terus-menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi dengan

11
signifikansi audit khusus, serta menyimpannya dalam sebuah file SCARF atau log audit (audit log).
Transaksi transaksi yang dicatat termasuk yang melebihi batas dolar tertentu, melibatkan rekening
tidak aktif, menyimpang dari kebijakan perusahaan, atau memuat pengurangan atas nilai aset. Secara
periodik, auditor memeriksa log audit untuk mengidentifikasi dan menyelidiki transaksi-transaksi
yang dipertanyakan.
4. Audit hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang
dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi. Penggunaan audit hooks pada State
Farm, termasuk bagaimana perusahaan mendeteksi sebuah penipuan besar, dijelaskan dalam Fokus
5. Continuous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam sebuah
sistem manajemen database (database management system-DBMS) yang menguji seluruh transaksi
yang memperbarui database menggunakan kriteria yang serupa dengan SCARF. Jika sebuah transaksi
memiliki signifikansi audit, modul CIS secara independen mengolah data (dalam cara yang serupa
dengan simulasi paralel), mencatat hasilnya, dan membandingkannya dengan yang diperoleh melalui
DBMS. Ketika terdapat ketidaksesuaian, perbedaan-perbedaan tersebut disimpan dalam sebuah log
audit untuk investigasi lanjutan. Jika perbedaannya serius, CIS dapat mencegah DBMS untuk
melaksanakan update.
ANALISIS ATAS LOGIKA PROGRAM Jika para auditor mencurigai bahwa sebuah program memuat
kode yang tidak diotorisasi atau kesalahan serius, sebuah analisis mendetail atas logika
program mungkin diperlukan. Analisis ini membutuhkan banyak waktu dan kecakapan dalam bahasa
pemrograman yang sesuai, sehingga analisis ini sebaiknya digunakan sebagai langkah terakhir. Para
auditor menganalisis pengembangan, pengoperasian, dan pendokumentasian program demikian juga
pada cetakan dari kode sumber. Auditor juga menggunakan paket- paket perangkat lunak berikut:
 Program bagan alir otomatis (automated flowcharting program) mengartikan kodesumber dan
menghasilkan sebuah bagan alir program.
 Program tabel keputusan otomatis (automated decision table program) mengartikan kode
sumber dan menghasilkan sebuah tabel keputusan.
 Rutinitas pemindaian (scanning routines) mencari sebuah program untuk seluruhkejadian atas
kompo nen-komponen tertentu.
 Program pemetaan (mapping program) mengidentifikasi kode program yang tidak
dilaksanakan. Perangkat lunak ini dapat menemukan kode program yang disisipkan oleh
seorang pemrogram jahat untuk menghapus seluruh file komputer ketika ia diberhentikan.
 Penelusuran program (program tracing) secara berurutan mencetak seluruh langkah- langkah
program yang dilakukan ketika sebuah program berjalan, bercampur dengan output reguler,
sehingga urutan kejadian yang dijalankan program dapat diamati. Penelusuran program
membantu mendeteksi perintah program yang tidak diotorisasi, path logika yang salah, dan
kode program yang tidak dilakukan.

12
Tujuan 5 : Data Sumber
Sebuah matriks pengendalian input digunakan untuk mendokumentasikan pemeriksaan atas
pengendalian data sumber, Matriks dalam Figur 11-3 menunjukkan prosedur-prosedur pengendalian
yang diterapkan pada setiap field catatan input. Fungsi pengendalian data harus independen (bebas)
dari fungsi lainnya, melindungi sebuah log pengendalian data, menangani kesalahan, dan memastikan
keseluruhan efisiensi dari operasi. Secara ekonomis biasanya tidak memungkinkan bagi bisnis kecil
untuk memiliki sebuah fungsi pengendalian data independen. Untuk menggantinya, pengendalian
departemen pengguna harus lebih kuat dalam mematuhi persiapan data, total pengendalian batch,
program edit, pembatasan pada akses fisik dan logis, serta prosedur-prosedur penanganan kesalahan.
Prosedur-prosedur ini harus menjadi fokus dari tinjauan sistem oleh auditor dan pengujian
pengendalian ketika tidak ada fungsi pengendalian data independen.
Meskipun pengendalian data sumber mungkin tidak sering mengalami perubahan seberapa
ketatnya pengendalian tersebut diterapkan dapat berubah, para auditor harus secara teratur
mengujinya. Auditor menguji sistem dengan mengevaluasi sampel data sumber untuk otorisasi
dengan tepat, merekonsiliasi pengendalian batch, serta mengevaluasi apakah kesalahan edit data telah
diatasi dan dikirim ulang untuk pemrosesan.
Jika pengendalian data sumber tidak memadai, pengendalian departemen pengguna dan
pengolahan data dapat menggantikannya. Jika tidak, para auditor harus merekomendasikan agar
kekurangan dalam pengendalian data sumber diperbaiki.
Tabel 11-5 menunjukkan pengendalian internal yang mencegah, mendeteksi, dan memperbaiki
data sumber yang tidak akurat atau tidak diotorisasi. Tabel tersebut juga menunjukkan prosedur-
prosedur tinjauan sistem dan pengujian atas pengendalian yang digunakan auditor. Dalam sebuah
sistem online, entri data sumber dan fungsi pemrosesan adalah satu operasi. Oleh karenanya,
pengendalian data sumber diintegrasikan dengan pengendalian pemrosesan dalam Tabel 11-4.

6 : File Data
Tujuan keenam memperhatikan tentang ketepatan, integritas, dan keamanan atas data yang disimpan
dalam file yang dapat dibaca mesin. Tabel 11-6 merangkum kesalahan, pengendalian, dan prosedur
audit untuk tujuan ini. Jika pengendalian file sungguh-sungguh belum mencukupi, terutama terkait
akses fisik/logis atau prosedur backup dan pemulihan. auditor seharusnya merekomendasikan agar
pengendalian tersebut diperbaiki.
Pendekatan pengauditan-dengan-tujuan adalah sebuah upaya yang komprehensif, sistematik, dan
efektif atas evaluasi pengendalian internal. Pendekatan ini dapat diimplementasikan menggunakan
sebuah checklist prosedur audit bagi setiap tujuan. Checklist ini membantu auditor mencapai sebuah
kesimpulan terpisah untuk tiap-tiap tujuan dan menyarankan pengendalian kompensasi (pengganti)

13
yang baik. Masing-masing dari enam checklist tersebut harus dilengkapi untuk setiap aplikasi yang
signifikan.
E. Perangkat Lunak Audit
Computer-assisted audit techniques (CAATs) mengacu pada perangkat lunak audit, sering disebut
sebagai generalized audit software (GAS), yang menggunakan spesifikasi yang disediakan auditor
untuk menghasilkan sebuah program untuk menjalankan fungsi audit, sehingga akan
mengotomatiskan atau menyederhanakan proses audit. Dua dari perangkat lunak yang paling populer
adalah Audit Control Language (ACL) dan Interactive Data Extraction and Analysis (IDEA). CAATS
sangat sesuai untuk memeriksa file data yang besar dalam mengidentifikasi catatan yang memerlukan
pengawasan audit lebih jauh.
Pemerintah Amerika Serikat mengemukakan bahwa CAATS merupakan alat berharga dalam
mengurangi defisit anggaran negara yang tinggi. Perangkat lunak tersebut digunakan untuk
mengidentifikasi tuntutan palsu Medicare dan menunjukkan biaya yang berlebih dari para kontraktor
pertahanan. General Accounting Office (GAO) mengecek kembali figur-figur dengan Internal
Revenue Service (IRS) dan menemukan bahwa ribuan veteran berbohong tentang pendapatan mereka
agar berhak memperoleh manfaat pensiun. Sebanyak 116.000 veteran yang menerima pensiun
berdasarkan kebutuhan tidak mengungkapkan sejumlah pendapatan senilai $338 juta dari tabungan,
dividen, atau sewa. Lebih dari 13.600 pendapatan yang tidak dilaporkan; seorang lagi tidak
melaporkan pendapatan yang lebih dari $300.000.
Ketika Veterans Administration (VA) memberitahu para penerima (ahli waris) bahwa pendapatan
mereka akan diverifikasi oleh IRS dan Social Security Administration, daftar pensiun menurun hingga
lebih dari 13.000, dengan penghematan sebesar 59 juta per bulan. VA berencana menggunakan sistem
yang sama untuk mengecek tingkat pendapatan yang mereka gunakan untuk pengajuan perawatan
medis. Jika pendapatan mereka ditemukan melebihi tingkat tertentu, para pasien akan disyaratkan
untuk melakukan pembayaran.
Dalam contoh lain, seorang penagih pajak baru di sebuah kota kecil New England meminta
sebuah audit pajak. Menggunakan CAATs, auditor menilai catatan penagihan pajak untuk 4 tahun ke
belakang, menyortir bedasarkan tanggal, menjumlahkan penagihan berdasarkan bulan, dan membuat
sebuah laporan penagihan pajak bulanan. Analisis mengungkapkan bahwa penagihan selama Januari
dan Juli, dua bulan tersibuk, menurun hingga 58% dan 72%, secara berturut-turut. Para auditor
kemudian menggunakan CAATS untuk membandingkan tiap catatan penagihan pajak dengan catatan
kekayaan. Mereka mengidentifikasikan beberapa ketidaksesuaian, termasuk yang dilakukan oleh
penagih pajak sebelumnya, saat ia menggunakan pembayaran milik pembayar pajak yang lain untuk
menutupi tagihan pajaknya yang belum dibayar. Penagih pajak sebelumnya ditahan atas penggelapan
(korupsi).
Untuk menggunakan CAATS, para auditor memutuskannya berdasarkan tujuan audit,
mempelajari tentang file dan database yang diaudit, mendesain laporan audit, dan menentukan

14
bagaimana menghasilkannya. Informasi ini dicatat dalam lembar spesifikasi dan dimasukkan ke
sistem. Program CAATS menggunakan spesifikasi untuk menghasilkan sebuah pengauditan. Program
tersebut menggunakan sebuah salinan atas data asli (live data) milik program perusahaan (untuk
menghindari adanya kesalahan) dalam melakukan prosedur-prosedur pengauditan dan menghasilkan
laporan audit tertentu. CAATs tidak dapat menggantikan pertimbangan auditor atau membebaskan
auditor dari fase-fase audit lainnya. Contohnya, auditor masih harus menyelidiki hal-hal dalam
laporan pengecualian, memverifikasi total terhadap sumber informasi lainnya, serta menguji dan
mengevaluasi sampel audit. CAATS akan sangat bernilai bagi perusahaan-perusahaan yang memiliki
proses rumit. operasi terdistribusi, volume transaksi tinggi, atau memiliki banyak jenis aplikasi dan
sistem. Berikut adalah beberapa penggunaan yang lebih penting atas CAATS :
 Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu.
 Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file.
 Merangkum, menyortir, dan menyaring data.
 Mengakses data dalam format yang berbeda dan mengubah data ke dalam sebuah format
umum.
 Menguji catatan-catalan atas kualitas, kelengkapan, konsistensi, dan kebenaran.
 Membagi catatan berdasarkan tingkatan, memilih dan menganalisis sampel statistis.
 Pengujian atas risiko tertentu dan mengidentifikasi bagaimana pengendalian atas risiko
tersebut.
 Melakukan penghitungan , analisis statistis, dan operasi matematis lainnya.
 Melakukan pengujian analitis, seperti analisis rasio dan tren, mencari pola data yang tidak
diduga atau tidak dijelaskan yang mungkin mengindikasikan penipuan.
 Mengidentifikasi kebocoran finansial, ketidakpatuhan atas kebijakan, dan kesalahan
pengolahan data.
 Merekonsiliasi perhitungan fisik dengan jumlah yang dikomputasi, menguji ketepatan kasir
atas perluasan dan saldo, menguji item-item salinan.
 Memformat serta mencetak laporan dan dokumen.
 Membuat kertas kerja elektronik.
F. Audit Operasional SIA
Teknik dan prosedur yang digunakan dalam audit operasional serupa dengan audit atas sistem
informasi dan laporan keuangan. Perbedaan dasarnya adalah lingkup audit. Sebuah audit sistem
informasi ditujukan pada pengendalian internal dan audit keuangan atas outpu sistem, sedangkan audit
operasional meliputi seluruh aspek atas manajemen sistem. Sebagai tambahan, tujuan dari audit
operasional termasuk mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan.
Langkah pertama dalam audit operasional adalah perencanaan audit, pada suatu waktu saat
lingkup dan tujuan audit ditetapkan, sebuah persiapan tinjauan sistem dilakukan, dan sebuah program

15
audit tentatif disiapkan. Langkah selanjutnya, pengumpulan bukti, termasuk aktivitas-aktivitas sebagai
berikut.
 Memeriksa kebijakan dan dokumentasi pengoperasian
 Mengonfirmasi prosedur prosedur dengan manajemen dan personel pengoperasian
 Mengobservasi fungsi-fungsi dan aktivitas aktivitas pengoperasian
 Memeriksa rencana serta laporan finansial dan pengoperasian
 Menguji ketepatan atas informasi pengoperasian
 Menguji pengendalian
Pada tahap pengevaluasian bukti, auditor mengukur sistem terhadap salah satu sistem yang
mengikuti prinsip-prinsip manajemen paling terbaik. Satu pertimbangan terpenting adalah bahwa hasil
dari kebijakan dan praktik manajemen lebih signifikan dibandingkan kebijakan dan praktik itu sendiri.
Oleh karena itu, jika hasil baik dicapai melalui kebijakan-kebijakan dan praktik-praktik yang secara
teoretis kurang baik, auditor harus mempertimbangkan dengan cermat apakah peningkatan yang
direkomendasikan. secara substansi akan meningkatkan hasil. Auditor mendokumentasikan temuan-
temuan dan kesimpulannya serta mengomunikasikannya pada manajemen.
Auditor operasional yang ideal memiliki pelatihan dan pengalaman audit juga pengalaman
beberapa tahun dalam sebuah posisi manajerial. Auditor dengan latar belakang pengauditan kuat,
tetapi pengalaman manajerialnya lemah biasanya memiliki kekurangan terkait perspektif yang
diperlukan untuk memahami proses manajemen.

16
 BAB III
Penutup dan Kesimpulan
Audit Sistem Informasi Merupakan suatu proses pengumpulan&pengevaluasian buktibukti yang
dilakukan oleh pihak yang independen&kompeten untuk mengetahu suatu sistem informasi dan
sumber daya terkait, digunakan untuk: melindungi aset,menjaga integritas&ketersediaan
sistem&data,menyediakan informasi yang relevan&handal,mencapai tujuan organisasi dengan
efektif,menggunakan sumber daya dengan efisien,System informasi menyiratkan penggunaan
teknologi komputer dalam suatu organisasi untuk menyediakan informasi bagi pengguna

17
 DAFTAR PUSTAKA
Paul John Steinbart, Marshall B. Romney; Buku Sistem Informasi Akuntansi; Edisi 11 2015.

18