Audit and Review: Its Role

in Information Technology and The

Audit Process in an Information
Technology Environment

KELOMPOK II :

M IQBAL RAMADHAN
WAHID QADRI DAMANIK
RANDI YUDISTHIRA
Audit dan Review: Perannya dalam Teknologi
Informasi

Dalam lingkungan saat ini, organisasi harus mengintegrasikan TI mereka dengan strategi bisnis untu
k mencapai tujuan perusahaan mereka secara keseluruhan, mendapatkan nilai maksimal dari inform
asi mereka, dan memanfaatkan teknologi yang tersedia bagi mereka.

Karena aplikasi terkomputerisasi menembus hampir semua fungsi dan proses bisnis, organisasi
mencampurkan platform perangkat keras dari vendor yang berbeda dengan kombinasi perangkat
lunak yang tersedia secara komersial dan perangkat lunak yang dikembangkan sendiri. Isu-isu seper
ti tata kelola TI, infrastruktur informasi internasional, E-commerce, keamanan, dan privasi serta kend
ali atas informasi publik dan perusahaan telah mendorong kebutuhan untuk peninjauan dan jaminan
diri sendiri.
Situasi dan Masalahnya

Komputer telah digunakan secara komersial sejak tahun 1952. Kejahatan yang
berhubungan dengan komputer dilaporkan sejak tahun 1966. Namun, baru pada
tahun 1973, masalah signifikan di Equity Funding Corporation of America (EFCA)
muncul, sehingga profesi audit terlihat serius. karena kurangnya kontrol
di komputer IS.

Pada tahun 1973, Institut Akuntan Publik Bersertifikat Amerika (AICPA), dalam
menanggapi peristiwa di EFCA, menunjuk komite khusus untuk mempelajari
apakah standar audit pada hari itu memadai dalam situasi seperti itu.
Standar Audit

Profesi akuntansi mulai membahas topik pengendalian internal sistem TI secara resmi pada tahun
1974 ketika AICPA mengeluarkan SAS 3, "Efek EDP pada Studi Auditor dan Evaluasi Pengendalian
Internal." SAS 3 berkaitan dengan evaluasi pengendalian internal klien yang memproses catatan
signifikan menggunakan sistem komputer.

Pada tahun 1984, AICPA menggantikan SAS 3 dengan SAS 48, "Efek Pemrosesan Komputer pada
Pemeriksaan Laporan Keuangan." SAS 48 mewajibkan auditor untuk mempertimbangkan efek
pemrosesan komputer di seluruh proses audit, dan tidak hanya selama evaluasi pengendalian
internal. SAS 48 mengubah SAS lainnya untuk menyinkronkan praktik audit dengan peningkatan
penggunaan pemrosesan berbasis komputer dalam sistem keuangan klien.
Audit TI: Apa Itu?

Audit TI adalah evaluasi TI, praktik, dan operasi untuk memastikan integritas
informasi entitas. Evaluasi tersebut dapat mencakup penilaian efisiensi,
efektivitas, dan keekonomisan dari praktik berbasis komputer.

Evaluasi auditor komputer terhadap sistem, praktik, dan operasi dapat mencakup
salah satu atau kedua hal berikut:
1. Penilaian pengendalian internal dalam lingkungan TI untuk memastik
an validitas, keandalan, dan keamanan informasi
2. Penilaian efisiensi dan efektivitas lingkungan TI dari segi ekonomi
Kebutuhan Fungsi Audit TI
Organisasi terus sangat bergantung pada teknologi komputer. Dengan meningkatnya ketergantunga
n pada komputer untuk melakukan transaksi sehari-hari dan dengan risiko yang lebih tinggi terkait
dengan teknologi baru, manajemen memerlukan jaminan bahwa kontrol yang mengatur operasi
komputernya memadai. Manajemen melihat ke arah fungsi audit untuk memberikan jaminan ini.

Namun, karena teknologi yang berubah dengan cepat dan risiko baru yang terkait dengan teknologi
tersebut, diperlukan spesialis untuk melakukan penilaian kontrol ini. Auditor EDP di masa lalu telah
berkembang menjadi auditor TI saat ini dan masa depan.

Mempelajari cara-cara baru audit selalu menjadi prioritas auditor TI internal dan eksternal.
Kebanyakan auditor menginginkan alat atau metodologi audit yang akan membantu mereka
menyelesaikan tugasnya dengan lebih cepat dan lebih mudah. Hampir setiap organisasi atau
perusahaan besar memiliki semacam fungsi atau audit TI yang melibatkan departemen audit
internal. Saat ini, perusahaan CPA "Empat Besar" telah menetapkan grup khusus yang
berspesialisasi dalam bidang audit TI. PriceWaterhouseCoopers LLP, Ernst & Young LLP, Deloitte LL
Pdan KPMG LLP memiliki staf yang melakukan audit TI.
The Auditor: Knowledge, Skills,
and Abilities
Secara tradisional, ada tiga sumber yang diterima secara umum untuk
memperoleh pendidikan audit TI:
• Sumber pertama adalah berpartisipasi dalam campuran pelatihan di tempat
kerja dan program internal. Ini paling sesuai jika teknologi yang disajikan tela
h diadopsi dan diterapkan oleh organisasi.
• Sumber kedua adalah berpartisipasi dalam seminar yang dipresentasikan
oleh organisasi profesional atau vendor. Ini sangat berharga dalam menyaji-
kan informasi yang baru atau untuk mengeksplorasi berbagai pendekatan
untuk masalah audit SI.
• Sumber ketiga ditemukan di lingkungan akademis universitas tradisional.
Studi sebelumnya menunjukkan bahwa sebanyak 70 persen pelatihan audit d
ilakukan di tempat kerja, dibandingkan dengan hanya 8 persen yang dipelajar
i di sekolah.

Spesialis TI dan auditor TI harus terus menerus menerima pendidikan untuk

meningkatkan pengetahuan, keterampilan, dan kemampuan mereka.
Peran Auditor TI
Peran auditor TI dapat diperiksa melalui proses tata kelola TI dan standar praktik profesional yang
ada untuk profesi ini. tata kelola TI adalah keterlibatan organisasi dalam pengelolaan dan peninjauan
penggunaan TI dalam mencapai tujuan dan sasaran yang ditetapkan oleh organisasi.

Alasan untuk menerapkan program tata kelola TI adalah:

1. Meningkatkan ketergantungan pada informasi dan sistem yang menyampaikan informasi
2. Meningkatkan kerentanan dan spektrum ancaman yang luas
3. Skala dan biaya investasi saat ini dan masa depan dalam informasi dan SI
4. Potensi teknologi untuk secara dramatis mengubah organisasi dan praktik bisnis untuk mencipta
kan peluang baru dan mengurangi biaya

Alat tata kelola TI standar terbuka yang membantu manajer dan auditor nonteknis dan teknis memah
ami dan mengelola risiko yang terkait dengan informasi dan TI terkait dikembangkan oleh Institut Tat
a Kelola TI dan Yayasan Audit dan Pengendalian Sistem Informasi.
Auditor IT sebagai Konselor

auditor harus berperan aktif dalam mengembangkan kebijakan

tentang kemampuan diaudit, pengendalian, pengujian, dan
standar. Auditor juga harus meyakinkan pengguna dan
personel TI akan perlunya lingkungan TI yang terkendali.
Auditor TI sebagai Mitra Manajemen Senior

Manajemen membutuhkan dukungan dari staf komputer yang terampil yang memahami persyaratan
organisasi, dan auditor TI berada dalam posisi yang tepat untuk memberikan informasi tersebut.
Mereka dapat memberikan penilaian independen kepada manajemen atas pengaruh keputusan TI
pada bisnis.

Selain itu, auditor TI dapat memverifikasi bahwa semua alternatif untuk proyek tertentu telah
dipertimbangkan, semua risiko telah dinilai secara akurat, solusi perangkat keras dan perangkat
lunak teknis sudah benar, kebutuhan bisnis akan terpenuhi, dan biaya masuk akal.
Auditor IT sebagai Investigator

Sebagai hasil dari peningkatan undang-undang dan penggunaan bukti komputer

di pengadilan, kemampuan untuk menangkap dan mendokumentasikan informas
i yang dihasilkan komputer terkait dengan aktivitas kriminal menjadi penting untu
k
tujuan penuntutan.

Kesadaran dan penggunaan alat bantu komputer dan teknik dalam melakukan
pekerjaan dukungan forensik telah memberikan peluang baru bagi auditor TI,
personel keamanan TI, dan mereka yang berada dalam penegakan hukum dan
investigasi.
The Audit Process in an Information Tec
hnology

Fungsi auditor TI melengkapi fungsi dari auditor internal dengan memberikan jaminan yang wajar
bahwa suatu kumpulan informasi telah dilindungi tepat waktu dan dapat diandalkan, dan semua
kesalahan dan kekurangan ditemukan dan diperbaiki dengan segera. Tujuan penting dari fungsi ini
adalah pengendalian yang lebih baik, jejak audit (audit trail) yang lengkap, dan kepatuhan terhadap
kebijakan organisasi.
Auditor TI dihadapkan pada banyak kekhawatiran tentang pemaparan informasi sistem komputer
terhadap banyak risiko. Dari perhatian ini muncul tujuan atas proses dan fungsi audit. Untuk
mencapai tujuan ini dibutuhkan dukungan dan keterlibatan semua peserta yang dijelaskan dalam
pembahasan bagian ini.
Audit Universe

Audit Universe mencakup tujuan organisasi, proses yang mendukung tujuan

tersebut, risiko tidak mencapai tujuan tersebut, pengendalian yang memitigasi
risiko, dan tujuan audit untuk setiap area audit. Menyatukan audit universe dala
m tujuan organisasi, menghubungkan seluruh proses audit dengan tujuan dan ris
iko bisnis, akan menjadikan lebih mudah untuk mengkomunikasikan dampak dari
defisiensi/kekurangan kontrol.
Setelah audit universe dikembangkan, langkah selanjutnya dalam proses
perencanaan adalah melakukan penilaian risiko setiap item audit universe.
penilaian risiko akan menganalisis eksposur dan membantu memprioritaskan
proyek audit.
Risk Assessment
Penilaian risiko membantu fungsi audit dalam mengembangkan jadwal audit dan
proses untuk merencanakan proyek audit individu. Hal ini juga meningkatkan
kualitas, kuantitas, dan aksesibilitas data perencanaan seperti area risiko, audit
masa lalu, hasil audit, dan informasi anggaran proyek.
Penilaian risiko adalah teknik yang digunakan untuk memeriksa proyek-proyek
potensial di dunia audit dan dipilih proyek yang memiliki eksposur risiko terbesar.
Perubahan meningkatkan audit universe, jumlah mitra bisnis (seperti, vendor),
dan jumlah proyek. Proses perencanaan yang efektif memungkinkan audit
menjadi lebih fleksibel dan efisien untuk memenuhi kebutuhan organisasi yang
berubah.
• Identifikasi dengan cepat perubahan di area risiko organisasi
• Identifikasi dengan cepat risiko baru yang muncul
• Akses informasi peraturan dan hukum saat ini secara efisien
• Manfaatkan informasi yang dikumpulkan selama proses audit untuk meningk
atkan penilaian risiko
Audit Plan

Departemen audit internal yang mengembangkan dan memelihara file audit

universe menyediakan kerangka yang kokoh untuk perencanaan audit. Minimal,
rencana audit TI harus :
• Menentukan ruang lingkup
• Menentukan tujuan
• Buat struktur pendekatan yang teratur
• Menyediakan pengukuran pencapaian
• Menjamin kelengkapan yang wajar
• Memberikan fleksibilitas dalam pendekatan
Developing an Audit Schedule

Departemen audit membuat jadwal audit tahunan untuk mendapatkan

persetujuan dari dewan tentang area audit, mengkomunikasikan area audit
dengan departemen fungsional, dan membuat rencana proyek/sumber daya
untuk tahun tersebut.
Pembuatan jadwal tahunan adalah proses menentukan total jam audit yang
tersedia, kemudian menetapkan item audit universe untuk mengisi waktu yang
tersedia.
Perencanaan dan penjadwalan adalah tugas yang sedang berlangsung karena
risiko dan prioritas yang berubah atau sumber daya dan garis waktu/timeline
yang berubah.
Audit Budget

Setelah menentukan prioritas audit, manajemen audit akan menentukan jumlah

jam yang tersedia untuk menentukan berapa banyak audit yang dapat mereka
selesaikan dalam satu tahun.
• Budget Coordination
• Audit Preparation
• Audit Scope Objectives
Objective and Context

Objective adalah apa yang kita coba capai. dan konteks adalah lingkungan
tempat melakukan pekerjaan.
Misalnya, jika auditor memiliki Penilaian Pengendalian Umum, tujuan audit
mungkin untuk memverifikasi bahwa semua pengendalian yang terkait dengan
pusat data, gedung tempat pusat data berada, Piutang Usaha [A / R], Hutang
Usaha [ A / P], cukup. oleh karena itu, auditor TI perlu memverifikasi
pengendalian tersebut karena auditor keuangan mengandalkan sistem komputer
untuk memberikan informasi keuangan yang benar. dan konteksnya adalah
tempat dimana keterampilan analitis sejati auditor berperan. Di sini, lingkungan
pada umumnya selalu berbeda dari toko ke toko. Dan auditor harus menilai
konteks yang dia masuki dan membuat keputusan tentang bagaimana lingkunga
n harus ditangani (seperti, perusahaan besar, perusahaan kecil, staf besar, dan s
taf kecil).
The Audit Process
IIA dan Information Systems Audit and Control Association (ISACA) memberikan
panduan khusus tentang proses audit. Perbedaan dalam audit TI adalah
pendekatan khusus untuk pekerjaan audit dan keterampilan yang dibutuhkan
untuk memahami teknologi dan lingkungan kendali TI.
fase kegiatan audit biasanya tumpang tindih dan melibatkan beberapa penilaian
ulang dan penelusuran kembali prosedur yang dilakukan sebelumnya. Fase khas
dari perikatan audit termasuk
• Preliminary review
• Preliminary evaluation of internal controls
• Design audit procedures
• Test controls
• Final evaluation of internal controls
• Substantive testing
• Documenting results
Preliminary Review
Dalam tahap ini, auditor harus memperoleh dan meninjau ringakasan informasi dan
mengevaluasinya dalam kaitannya dengan tujuan audit. Tujuan tahap tinjauan awal
suatu perikatan audit adalah untuk mengumpulkan informasi sebagai dasar untuk
merumuskan rencana audit, yang merupakan produk akhir dari tahap ini. Selama
tinjauan awal, auditor akan mengumpulkan informasi umum tentang proses dan
sistem yang ditinjau. Auditor melakukan tinjauan awal ini pada tingkat umum, ta
npa memeriksa detail aplikasi individu dan proses yang terlibat.

Preliminary Evaluation of Internal Controls

Dalam Tahap ini, auditor menentukan pengendalian mana yang penting untuk tujuan
audit secara keseluruhan. termasuk membangun pemahaman rinci tentang area
yang diaudit. Untuk melengkapi pemahaman, auditor mewawancarai personel kunci
untuk menentukan kebijakan dan praktik, dan menyiapkan informasi audit tambahan
sesuai kebutuhan
Design Audit Procedures
Pada Tahap ini, auditor harus menyiapkan program audit untuk area yang diaudi
t, memilih teknik verifikasi yang berlaku untuk setiap area, dan menyiapkan
instruksi untuk kinerjanya.
• Types of IT Audits
• Reviewing Information System Policies, Procedures, and Standards
• IT Audit Support of Financial Audits
• Identifying Financial Application Areas
• Auditing Financial Applications
 Jejak audit yang memadai sehingga transaksi dapat dilacak maju dan mundur melalui system
 Dokumentasi dan adanya kontrol atas akuntansi untuk semua data (misalnya, transaksi) yang dim
asukkan ke dalam sistem dan kontrol untuk memastikan integritas transaksi tersebut di seluruh se
gmen komputerisasi sistem
 Menangani pengecualian, dan penolakan dari, sistem komputer
 Pengujian unit dan terintegrasi, dengan kontrol secara langsung untuk menentukan apakah sistem
bekerja seperti yang dinyatakan
 Kontrol atas perubahan pada sistem komputer untuk menentukan apakah otorisasi yang tepat tela
h diberikan dan didokumentasikan
 Prosedur otorisasi untuk penggantian sistem dan dokumentasi proses tersebut
 Menentukan apakah organisasi dan kebijakan dan prosedur pemerintah telah ditaati dalam implem
entasi sistem
 Melatih personel yang menggunakan dalam pengoperasian sistem
 Mengembangkan kriteria evaluasi terperinci sehingga memungkinkan untuk menentukan apakah si
stem yang diterapkan telah memenuhi spesifikasi yang telah ditentukan sebelumnya
 Kontrol yang memadai antara sistem komputer yang saling berhubungan
 Prosedur keamanan yang memadai untuk melindungi data pengguna
 Prosedur pencadangan dan pemulihan untuk pengoperasian sistem dan jaminan kelangsungan bis
nis
 Memastikan teknologi yang disediakan oleh vendor yang berbeda (seperti platform operasional) ad
alah kompatibel dan terkontrol
 Database yang dirancang dan dikendalikan secara memadai untuk memastikan bahwa definisi um
um data digunakan di seluruh organisasi, redundansi dihilangkan atau dikontrol, dan data yang ad
a di beberapa database diperbarui secara bersamaan
• Management of IT and Enterprise Architecture
• Computerized Systems and Applications
• Information Processing Facilities
• Systems Development
• Client/Server, Telecommunications, Intranets, and Extranets
Fieldwork and Implementing Audit Methodology
Ada tujuh langkah dasar yang dapat membantu auditor dalam meninjau sistem
berbasis komputer. Langkah-langkah ini valid terlepas dari lingkungan komputer,
area audit, atau kompleksitas sistem. Untuk setiap audit, langkah-langkahnya
harus dipahami dengan jelas, direncanakan, dan dikoordinasikan dengan tujuan
organisasi yang ditetapkan untuk fungsi audit.
1. Menentukan tujuan
2. Membangun pemahaman dasar dari area yang diaudit
3. Membangun pemahaman detail dari area yang diaudit
4. Mengevaluasi pengendalian, kekuatan dan kelemahan
5. Mendesign prosedur audit
6. Menguji pengendalian kritis, proses dan eksposur yang terlihat
7. Mengevaluasi hasil
Test Controls

Menguji pengendalian yg kritis/penting, proses, dan eksposur nyata/kelihatan.

Auditor melakukan pengujian yang diperlukan dengan menggunakan bukti
dokumenter, wawancara yang menguatkan, dan observasi pribadi.
Validasi informasi yang diperoleh ditentukan oleh program kerja auditor. Program
kerja ini adalah pendekatan yang terorganisir, tertulis, dan direncanakan
sebelumnya untuk mempelajari departemen TI. Hal Ini membutuhkan validasi
dalam beberapa cara sebagai berikut:
• Menanyakan pertanyaan yang sama kepada personel yang berbeda dan me
mbandingkan jawabannya
• Mengajukan pertanyaan yang sama dengan cara yang berbeda pada waktu
yang berbeda
• Membandingkan jawaban checklist dengan kertas kerja, program,
dokumentasi, tes, atau hasil lain yang dapat diverifikasi
• Membandingkan jawaban checklist dengan hasil sistem sebenarnya
• Melakukan ministudi dari tahapan penting operasi
Final evaluation of internal controls
auditor melakukan pengujian yang diperlukan dengan menggunakan bukti
dokumenter, wawancara yang menguatkan, dan observasi pribadi.

Validation of Work Performed

Validasi informasi yang diperoleh ditentukan oleh program kerja auditor. Sekali
lagi, program kerja ini adalah pendekatan yang terorganisir, tertulis, dan
terencana untuk studi departemen TI. Validasi dapat dilakukan dalam
beberapa cara:
• Menanyakan pertanyaan yang sama kepada personel yang berbeda dan
membandingkan jawabannya
• Mengajukan pertanyaan yang sama dengan cara yang berbeda pada waktu
yang berbeda
• Membandingkan jawaban checklist dengan kertas kerja, program,
dokumentasi, tes, atau hasil lain yang dapat diverifikasi
• Membandingkan jawaban checklist dengan hasil sistem sebenarnya
• Melakukan ministudi dari tahapan penting operasi
Substantive Testing
Jika pengendalian ditetapkan tidak efektif, pengujian substantif mungkin
diperlukan untuk menentukan apakah terdapat masalah material dengan
informasi keuangan yang dihasilkan. Dalam audit TI, pengujian substa
ntif digunakan untuk menentukan keakuratan informasi yang dihasilk
an oleh suatu proses atau aplikasi. Pengujian audit dirancang dan dilaksanaka
n untuk memverifikasi keakuratan fungsional, efisiensi, dan pengend
alian subjek audit. Selama audit aplikasi SI, misalnya, auditor akan membang
un dan memproses data pengujian untuk memverifikasi langkah pemrosesan
aplikasi.
Documenting Results
Langkah terakhir melibatkan evaluasi hasil pekerjaan dan menyiapkan laporan
tentang temuannya. Hasil audit harus mencakup temuan, kesimpulan, dan
rekomendasi audit.
• Working Papers
• Audit Report
• Follow Up of Audit Recommendations
TERIMA KASIH