KELOMPOK 13

AUDIT SISTEM INFORMASI

1. Shinta Dewi Purnamasari / 180221100183

2. Lilis Ayu Widiarti / 180221100167
3. Shohibatul Hikmah / 180221100171
Dasar Audit Sistem Informasi

 Pengauditan : secara objektif memperoleh dan mengevaluasi bukti mengenai asersi asersi tentang
tindakan dan kejadian ekonomi untuk memastikan derajat kesesuaian antara asersi asersi tersebut
dengan kriteria yang ditetapkan
 Pengauditan Internal : Aktivis penjaminan dan konsultasi yang didesain untuk menambah nilai dn m
eningkatkan efektivitas dan efisiensi organisasi serta mencapai tujuan organisasi
 Audit Keuangan : Pemeriksaan keterandalan dan integritas dari transaksi transaksi keuangan, catat
an akuntansi, dan laporan keuangan
Beberapa jenis Audit Internal

1. Audit Keuangan : memeriksa keterandalan dan integritas transaksi transaksi keuangan, catatab aku
ntansi , da laporan keuangan
2. Audit Pengendalian Internal atau Sistem Informasi : memeriksa pengendalian dari sebuah SIA untuk
menilai keparuhannya dengan kebijakan dan prosedur pengendalian internal dalam pengamanan aset
3. Audit Operasional : berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya d
an pencapaian tujuan serta sasaran yang di tetapkan
4. Audit Kepatuhan : menentukan apakah entitas mematuhi hukum, peraturan, kebijakan dan prosedur
yang berlaku.
5. Audit Investigatif : menguji kejadian kejadian dari penipuan yang mungkin terjadi, penggunaan aset y
ang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk
Tinjauan Menyeluruh Proses Audit

1 Perencanaan Audit
2 Pengumpulan Bukti Audit
3 Evaluasi atas Bukti audit
4 Komunikasi Hasil Audit
1. Perencanaan Audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan.
Audit direncanakan, sehingga jumlah terbesar pekerjaan audit berfokus pada area dengan faktor-faktor ri
siko tertinggi.
Terdapat tiga jenis risiko audit:
1. Risiko bawaan (inherent risk): kelemahan terhadap risiko material karena tidak tersedianya pengend
alian internal.
2. Risiko pengendalian (control risk): risikp saat suatu salah saji material akan melampaui struktur peng
endalian internal ke dalam laporan keuangan.
3. Risiko deteksi (detection risk): risiko ketika para auditor dan prosedur auditnya akan gagal mendetek
si sebuah kesalahan atau salah saji yang material.
2 PENGUMPULAN BUKTI AUDIT
Berikut cara-cara yang paling umum untuk mengumpulkan bukti audit:
1. observasi atas aktivitas-aktivitas yang diaudit (misalnya, menyaksikan bagaimana personel pengend
alian data menangani pekerjaan pengolahan data saat diterima).
2. pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau sistem pengendali
an internal tertentu harusnya berfungsi.
3. diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melakukan prose
dur-prosedur tertentu.
4. kuesioner untuk mengumpulkan data
5. pemeriksaan fisik atas kuantitas dan/atau kondisi dari aset berwujud, seperti peralatan dan persediaa
n.
6. konfirmasi (confirmation): komunikasi tertulis dengan pihak ketiga yang independen untuk mengonfir
masi ketepatan informasi, seperti saldo akun pelanggan.
7. melakukan ulang (reperformance): melakukan perhitungan lagi untuk memverifikasi informasi kuantit
atif.
8. pemeriksaan bukti pendukung (vouching): membandingkan entri jurnal dan buku besar akuntansi den
gan bukti dokumentasi untuk memverifikasi bahwa sebuah transaksi valid, tepat, diotorisasi dengan l
ayak, dan dicatat dengan benar.
9. tinjauan analitis (analytical review): pemeriksaan atas hubungan antara set-set data yang berbeda; h
ubungan dan trend yang tidak normal atau tidak biasa diselidiki.
3. Evaluasi atas bukti Audit

 Audit mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti tersebut mendukung kesimp
ulan yang menguntungkan atau tidak.Jika tidak meyakinkan, auditor menjalankan prosedur tambahan unt
uk mencapai sebuah kesimpulan pasti
 Materialitas (materiality): jumlah kesalahan, penipuan, atau pengabaian yang akan memengaruhi keputu
san dari seorang pengguna informasi keuangan yang hati-hati.
 Materialitas yang menekankan kewajaran atas laporan keuangan lebih penting bagi audit eksternal, diba
nsing bagi audit internal ketika fokus audit internal adalah kepatuhan terhadap kebijakan menejemen
 Penjaminan memadai (reasonable assurance): mendapatkan jaminan penuh bahwa informasi yang bena
r adalah mahal, maka auditor menerima tingkatan yang masuk akal atas risiko bahwa kesimpulan audit s
alah.
 Auditor nencari penjaminan memadai bahw tidak ada kesalagan material yang ada dalam informasi atau
proses yang diaudit. Oleh karen itu untuk mencari penjamin penug memerlukan biaya yang sangat mahal
, auditor memiliki beberapa resiko bahwa kesimpulan auditnya salah. Ketika resiko bawaan atau pengen
daliannya tinggi, auditor harus mendapatkan prnjaminan yang lebih besar untuk mengimbangi ketidkpasti
an dan resiko yng ebih besar
 Dalam seluruh tahapan audit, temuan dan kesimpulan didokumentasikan dalam kertas kerja audit. Doku
mentasi utamanya penting dalam tahapan evaluasi ketika kesimpulan harus dicapai dandidukung
4. Komunikasi Hasil Audit
1. Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan rekomendasi ke
pada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang berkepentingan.
2. Auditor kemudian biasanya melakukan studi tindak lanjut untyk memastikan apakah rekomendasi rekome
ndasinya dilaksanakan
Pendekatan Audit Berbasis Resiko
• Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasis-risiko
, memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
• Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
• Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki an
caman.
 Mengevaluasi prosedur pengendalian. Pengendalian dievaluasi dalam dua cara yaitu: 1) Tinjauan sistem (
system review): sebuah langkah evaluasi pengendalian internal yang menentukan apakah prosedur peng
endalian yang layak benar-benar dilaksanakan, 2) Uji pengendalian (test of control): uji untuk menentukan
apakah pengendalian yang ada bekerja seperti yang dikehendaki.
 Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau tingkatan
prosedur pengauditan. Pengendalian kompensasi (compensating control): prosedur pengendalian yang m
engompensasi kelemahan dalam pengendalian data.
Audit Sistem Informasi
Tujuan dari sebuah audit sistem informasi adalah untuk memeriksa dan mengevaluasi pengendalian inter
nal yang melindungi sistem. Ketika melakukan sebuah audit sistem informasi, para auditor seharusnya m
emastikan bahwa enam tujaun berikut telah dicapai:
1. Ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi, dan data-data dari a
kses, modifikasi, atau penghancuran yang tidak diotorisasi.
2. Pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan spesifikasi manaje
men.
3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan lengkap.
5. Data sumber yang tidak diotorisasi dengan benar diidentifikasi dan ditangani berdasaekan kebijakan m
anajerial yang telah ditentukan.
6. File-file data komputer tepat, lengkap, dan rahasia
Pengolahan Data Pengujian
Satu cara untuk menguji sebuah program adalah memproses satu set hipotesis atau transaksi yng val
id dan tidak valid.
Sumber daya berikut ini berguna ketika mempersiapkan pengujian data:
• sebuah daftar atas transaksi-transaksi aktual.
• transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program.
• tes pembuatan data (test data generator): perangkat lunak yang berdasarkan spesifikasi program
menghasilkan satu set data yang digunakan untuk menguji logika program.
Teknik Audit Bersamaan
1. Teknik audit bersamaan (concurrent audit techniques): perangkat lunak yang terus menerus mengawasi sebuah siste
m sementara ia mengolah data asli (live data) serta mengumpulkan, mengevaluasi, dan melaporkan informasi menge
nai keterandalan sistem.
2. Modul audit yang dilekatan (embedded audit modules): segmen-segmen kode program yang menjalankan fungsi audit
, melaporkan hasil pengujian, dan menyimpan bukti yang disimpan untuk diperiksa auditor.
3. Para auditor biasnya menggunakan lima teknik audit bersama sebagai berikut:
4. Integrated test facility (ITF): menyisipkan sebuah entitas pelasu dalam sistem sebuah perusahaan; memproses transa
ksi-transaksi pengujian untuk memperbaharuinya tidak akan memengaruhi catatan aktual.
5. Teknik snapshot (snapshot technique): menandai transaksi-transaksi dengan kode khusus, mencatatnya beserta catat
an file induknya sebelum dan sesudah pemrosesan, dan menyimpan data untuk kemudian memverifikasi bahwa selur
uh langkah pemrosesan dilakukan dengan benar.
6. System control audit review file (SCARF): menggunakan modul audit yang dilekatkan untuk terus-menerus mengawas
i aktivitas transaksi-transaksi, mengumpulkan data dalam transaksi dengan signifikansi audit khusus, serta menyimpa
nnya untuk kemudian mengidentifikasi dan menyelidiki transaksi-transaksi yang dipertanyakan. Log audit (audit log): s
ebuah file yang memuat transaksi-transaksi yang memiliki signifikansi audit.
7. Audit hooks: rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang dipertanyakan, biasanya saat
transaksi-transaksi tersebut terjadi.
8. Continous and intermittent simulation (CIS): melekatkan modul audit dalam sebuah DBMS yang menggunakan kriteria
khusus untuk memeriksa seluruh transaksi yang memperbarui database.
• System control audit review file (SCARF): menggunakan modul audit yang dilekatkan untuk terus-meneru
s mengawasi aktivitas transaksi-transaksi, mengumpulkan data dalam transaksi dengan signifikansi audit
khusus, serta menyimpannya untuk kemudian mengidentifikasi dan menyelidiki transaksi-transaksi yang
dipertanyakan. Log audit (audit log): sebuah file yang memuat transaksi-transaksi yang memiliki signifikan
si audit.
• Audit hooks: rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang dipertanyakan, b
iasanya saat transaksi-transaksi tersebut terjadi.
• Continous and intermittent simulation (CIS): melekatkan modul audit dalam sebuah DBMS yang menggun
akan kriteria khusus untuk memeriksa seluruh transaksi yang memperbarui database.
Apa Itu Cobit ?
Control Objectives for Information and related Technology (COBIT) adalah suatu panduan standar praktik ma
najemen teknologi informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT governa
nce yang dapat membantu auditor, manajemen dan user untuk menjembatani gap antara risiko bisnis, kebut
uhan kontrol dan permasalahan-permasalahan teknis.
COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit
and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, da
n karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat mema
nfaatkan guideline ini dengan sebaik-baiknya.
Kerangka Kerja Cobit
Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yan
g tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & su
pport , dan monitoring .
Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control
objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran p
erbaikan.
Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang
mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:
• Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfa
at yang dihasilkannya.
• Apa saja indikator untuk suatu kinerja yang bagus?
• Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success fac
tors )?
• Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
• Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
• Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.
Cobit juga memasukkan hal berikut :
• Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingk
an dengan “the best in the class in the Industry” dan juga International best practices
• Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kont
rol atas proses TI.
• Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements
• Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan dengan process goals
• COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information T
echnology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan se
cara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).
• Sedang, COBIT’s “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT
dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan invest
asi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila ter
jadi suatu kesimpang-siuran dalam penerapan teknologi.
• Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dim
ulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 p
roses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat di
mulai dengan memilih proses yang relevan dari proses-proses tersebut.
TERIMAKASIH

Any Question ?