Audit Sistem Informasi &

Prosedur
Kelompok 4:

 Diya Anisa Husna 3012011084

 Meilin Kartika 3012011016
 Meisy Adrilia 3012011052

20AK1
 Audit Sistem Informasi
Pengertian secara garis besar ialah proses
pengumpulan dan pengevaluasian bukti-
bukti untuk menentukan apakah suatu
sistem aplikasi komputerisasi telah
menetapkan dan menerapkan sistem
pengendalian intern yang memadai, semua
aktiva dilindungi dengan baik serta
terjaminnya integritas data, keandalan,
serta efektivitas dan efisiensi
penyelenggaraan sistem informasi
berbasis komputer tersebut.
 Next…
Audit Sistem Informasi berbasis teknologi informasi dapat digolongkan dalam jenis-jenis
pemeriksaan :
 Audit Laporan Keuangan (general audit on financial statements)
Audit objektifnya yaitu memeriksa kesesuaian financial statements dengan standar akuntansi keuangan
dan ada/tidak adanya salah saji material pada laporan keuangan. Kualifikasi auditor nya adalah akuntan
dengan panduan yang digunakan dalam Audit ini di Indonesia adalah Standar Profesional Akuntan Publik
(SPAP) dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia)

 Audit Sistem Informasi sebagai kegiatan tersendiri, terpisah dari audit keuangan
Audit Sistem Informasi merupakan salah satu dari bentuk audit operasional, tetapi saat ini audit SI sudah
dikenal sebagai satuan jenis audit tersendiri yang tujuan utamanya untuk meningkatkan IT governance.
Sebagai salah satu audit operasional terhadap manajemen sumberdaya informasi, yaitu efektivitas
efisiensi dan ekonomis tidaknya unit fungsional sistem informasi atau pengelolaan sistem informasi
pada suatu organisasi. Dalam pelaksanaannya, jenis audit ini berkembang dalam beberapa varian:
● - Pemeriksaan Operasional
● - General Information Review
● - Audit terhadap aplikasi tertentu yang sedang dikembangkanBunch of old books
 Perlunya Audit Teknologi Informasi
Audit TI sangat diperlukan karena akuntan yang melakukan audit laporan keuangan harus
memahami dan menguji sistem dan pengendalian internnya dan dalam rangka memeriksa data
akuntansi. Selain itu, audit TI makin diperlukan sehubungan dengan risiko yang semakin tinggi di
bidang sistem berbasis teknologi informasi yaitu :

Risiko penggunaan Ketidakmampuan

Kesalahan Logika pengolahan
teknologi secara menterjemahkan
berantai salah
tidak layak kebutuhan

Konsentrasi Data input atau Ketidakmampuan

tanggungjawab informasi yang tidak mengendalikan
akurat teknologi
 Audit Laporan Keuangan
Dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan
(sesuai dengan standar akuntansi keuangan dan tidak salah saji materialitas). Pemeriksaan audit
laporan keuangan terdiri dari dua tahap ;
Audit pengendalian yaitu memeriksa apakah proses sistem dan program komputer
sudah benar, memeriksa apakah sistem pengendalian umum sistem memadai, dan
apakah pengendalian aplikasi sudah cukup baik
Audit terhadap data substantif dengan mengakses data akuntansi yang ada didalam
file/media komputer
Dari segi pandang akuntansi tujuan rinci pemeriksaan sistem dan struktur pengendalian intern nya
adalah untuk menguji asersi manajemen apakah :
1. Transaksi yang dicatat sah
2. Transaksi yang dicatat sudah diotorisasi
3. Transaksi yang dicatat telah dicatat semua
4. Transaksi yang dicatat telah dinilai secara layak
5. Transaksi yang dicatat telah diklasifikasikan dengan benar
6. Transaksi yang dicatat sesuai dengan waktu
7. Transaksi yang dicatat telah di posting dengan benar
Next…

Proses Audit Teknologi Informasi dengan

pengumpulan dan penilaian bahan bukti
audit. Bahan bukti utama audit keuangan
adalah data akuntansi dan internal controls.
Karena itu selain memeriksa data akuntansi
akuntan perlu memeriksa kontrol internal
untuk dapat menentukan apakah sistem
informasi perusahaan telah menggunakan
sumberdaya SI secara tepat dan mampu :
 mendukung pengamanan aset
perusahaan tersebut
 memelihara kebenaran dan integritas
data sehingga laporan keuangan dapat
dipercaya
 sistem dapat mendukung pencapaian
tujuan perusahaan secara efektif dan
efisien
 Audit Around the Computer
Kunci pendekatan audit ini adalah pada penelusuran transaksi terpilih mulai dari dokumen sumber
sampai ke bagian perkiraan dan laporannya. Untuk menerapkan metode ini,
1. Auditor meninjau dan menguji input control (pengendalian masukkan)
2. Menghitung hasil yang diperkirakan dari proses transaksi sample
3. Lalu auditor membandingkan hasil sesungguhnya dengan hasil yang dihitung secara manual

Metode audit ini biasanya dilaksanakan pada situasi berikut :

masalah keterampilan auditor mengenai aspek teknis komputer atau keterbatasan
lain untuk dapat menguji sistem komputerisasi secara langsung
dokumen sumber tersedia dalam bentuk kertas
dokumen dokumen disimpan dalam file dengan cara yang mudah ditemukan
keluaran dapat diperoleh dari daftar dengan data yang cukup terinci dan auditor
mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan
sebaliknya
sistem komputer yang diterapkan masih sederhana
sistem komputer yang diterapkan masih menggunakan software yang umum
digunakan
Next…

Keunggulan metode audit ini adalah :

• pelaksanaan Audit lebih sederhana
• auditor yang memiliki pengetahuan minimal
dibidang komputer

Kelemahannya adalah jika kondisi (user requirement)

berubah mungkin sistem itupun perlu diredesain dan
perlu penyesuaian program program bahkan mungkin
struktur data file sehingga auditor perlu menilai ulang
apakah sistem masih berjalan baik.
 Audit Through the Computer
Dalam pendekatan ini auditor melakukan pemeriksaan langsung terhadap program program dan file-
file komputer pada audit sistem informasi berbasis TI. Auditor menggunakan komputer atau dengan
cek logika untuk menguji logika program dalam rangka pengujian pengendalian yang ada pada
komputer.
Pendekatan audit langsung ke sistem komputerisasi cocok dalam kondisi:
• sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output
yang cukup besar sehingga memperluas audit untuk meneliti keabsahanya.
• bagian penting dari struktur pengendalian intern perusahaan terdapat didalam
komputerisasi yang digunakan
• sistem logika komputerisasi/ komunikasi sangat kompleks dan memiliki banyak fasilitas
pendukung
Keunggulan pendekatan audit dengan pemeriksaan sistem komputerisasi adalah :
1. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap
sistem komputer
2. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya
3. Auditor dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan
lingkungan
 Audit With the Computer
Pendekatan audit dengan menggunakan bantuan komputer dalam berbagai bentuk. Audit dengan
komputer untuk kegiatan pendukung dan administratif paling sering digunakan. Adapun dalam
pelaksanaan audit dengan berbantuan komputer terdapat beberapa cara yang dapat dilakukan
auditor dalam melaksanakan prosedur audit :

1. Memproses/ melakukan pengujian langsung terhadap sistem komputer klien itu sendiri dalam
pengujian pengendalian
2. Menggunakan komputer untuk melaksanakan tugas audit yang terpisah dari sistemnya klien
3. Menggunakan komputer sebagai alat bantu dalam audit, menyangkut :
a) Dalam pengujian program dan atau file data yang dipergunakan dan dimiliki oleh perusahaan
b) Menggunakan komputer untuk dukungan kegiatan audit

Pada pendekatan ini audit dilakukan dengan menggunakan komputer dan software untuk
mengotomatisasi prosedur pelaksanaan audit. Pendekatan audit dengan bantuan komputer
merupakan cara audit yang sangat bermanfaat khususnya dalam pengujian substantif atas file dan
record perusahaan.
Next…
Software audit yang digunakan merupakan program komputer yang dipakai auditor untuk membantu
pengujian dan evaluasi keandalan data file perusahaan. Software yang digunakan dapat digolongkan
dalam:

Perangkat lunak khusus audit Perangkat lunak audit yang berlaku umum
(Specialized Audit Software) (Generalized Audit Software)

Merupakan software yang dirancang Terdiri dari software yang memiliki berbagai fungsi
auditor bersangkutan agar sesuai dengan proses dan manipulasi data sebagai alat bantu audit.
situasi audit tertentu yang dihadapinya. GAS dibuat software house sebagai suatu package
Software ini jarang digunakan kecuali di software yang dijual dan dapat digunakan oleh
KAP besar karena penyiapannya berbagai kantor akuntan untuk melaksanakan tugas
memerlukan waktu, mahal dan audit dan dapat digunakan pada berbagai perusahaan.
memerlukan keahlian auditor di bidang Kelemahan utama GAS adalah upaya dan biaya
komputer pengembangan yang relatif besar dan memerlukan
keahlian teknis designer yang memadai karena
software tersebut harus dirancang untuk dapat
digunakan secara luwes.
 Prosedur Umum Audit
Kegiatan utama dalam pelaksanaan audit adalah Top Management
pengumpulan dan evaluasi bukti audit ( audit ↓
eviedence collection and eviedence evaluation). Information Systems Management
Kegiatan evaluasi terhadap bukti-bukti audit
↓
dilakukan dengan tujuan agar auditor dapat menarik
kesimpulan dan mendapat keyakinan untuk System Development Management
memberikan opini dalam audit laporan keuangan ↓
keyakinan terhadap keandalan financial statements Programming Management
dan dalam audit SI tentang telah ↓
diselenggarakannya good IT governance
Quality Assurance management
↓
Salah satu metode pendekatan audit adalah dengan
systems factoring yaitu teknik audit dengan lebih Security Administration
dahulu memandang sistem yang diaudit secara ↓
luas/komprehensif kemudian di breakdown menjadi Operation Management
bagian-bagian terstruktur supaya lebih mudah
↓
diperiksa
Application System Controls
 Prosedur Audit Keuangan (TI)

Perencanaan Pemahaman Sistem dan Pengumpulan

Pemeriksaan Struktur Internnya Bukti Audit

Menetapkan ruang lingkup Pemahaman terhadap Bukti dikumpulkan dengan

dan tujuan pemeriksaan sasaran yang akan diaudit, sejumlah instrumen audit,
pengumpulan informasi test, dan prosedur yang
awal, dan identifikasi risiko. bermacam-macam
jenisnya.
Next…

Evaluasi Bukti Komunikasi Hasil

Pemeriksaan
• Melakukan test of controls
• Melakukan substantive test,
meliputi:
- Test of transactions
- Test of balance or overall results
Pemeriksaan
Mempersiapkan laporan hasil
audit mengenai temuan dan
rekomendasi berdasarkan
pemeriksaan dan kesimpulan
pendapat auditor.
 Audit Operasional
Audit operansional pada efisiensi dan efektifitas dengan semua sumberdaya yang digunakan
untuk melaksanakan tugas, cakupanya meliputi kesesuaian praktik dan prosedur dengan
peraturan yang ditetapkan.

Tahap-tahap Audit Operasional

Perencanaan Pelaporan

Pekerjaan Lapangan Tindak-lanjut

 Audit Aplikasi Komputer
Audit terhadap sistem aplikasi klien dilakukan dalam beberapa pilihan, yaitu:
1. Quality Assurance
Auditor akan menjadi anggota tim pengembangan sistem untuk mewakili pimpinan proyek dan
manajemen sebagai quality assurance (QA).
QA mempunya tugas antara lain:
• Merealisasikan kebijakan manajemen dan pencapaian terget.
• Memantau standar dan apakah standar telah dipatuhi dalam kegiatan system development
• Berkoordinasi dengan proyek atau tim terkait dalam mengevaluasi rencana mutu.
• Melakukan kajian terhadap permasalahan.
• Melakukan pemeriksaan dan mengumpulkan data terhadap kegiatan system development.

2. Postimplementation Audit
Auditor memeriksa mengenai sistem aplikasi komputer telah pada perusahaan telah sesuai
dengan kebutuhan penggunannya, optimal, terjamin, dan pengamananya cukup baik
Tujuan Audit SI
Tujuan audit sistem informasi menurut Ron Weber (1999)
secara garis besar yaitu:

● Pengamanan Aset

● Efektifitas Sistem

● Ketersediaan (Availability)

● Kerahasiaan (Confidentiality)

● Kehandalan (Realibility)

● Menjaga Integritas Data

 Perlunya Kontrol & Audit

Faktor-faktor yang mendorong pentingnya kontrol dan audit sistem informasi (Weber, 1999,
p.6) adalah antara lain untuk :
1. Mendeteksi agar komputer tidak dikelola secara kurang terarah.
2. Mendeteksi resiko kehilangan data.
3. Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses
sistem komputerisasi salah/lambat/tidak lengkap.
4. Menjaga aset perusahaan karena nilai hardware, software dan personil yang lazimnya
tinggi.
5. Mendeteksi resiko error komputer.
6. Mendeteksi resiko penyalahgunaan komputer (fraud).
7. Menjaga kerahasiaan.
8. Meningkatkan pengendalian evolusi penggunaan komputer.
 Prosedur Audit SI
Target suatu audit sistem informasi sebagai audit operasional adalah melakukan assesment
terhadap efektivitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi suatu
organisasi.

Audit SI dimaksudkan untuk memberikan informasi kepada manajemen agar mempunyai “a

clear assesment” terhadap sistem informasi yang diimplementasikan pada organisasi.

Jenis penugasan audit SI pada organisasi, yaitu:

1. Untuk mengidentifikasi sistem yang ada
2. Untuk dapat lebih memahami besar sistem informasi mendukung perusahaan
3. Untuk mengetahui bidang dan area yang didukung sistem serta teknologi informasi
4. Untuk menganalisis data/informasi yang dihasilkan
5. Untuk mengetahui keterkaitan antara data
6. Untuk mengidentifikasi kesenjangan
7. Untuk membuat peta dari information flow yang ada
 Pengendalian Sumber Daya Non-
Keuangan
Salah satu jenis sistem informasi adalah audit terhadap pusat layanan sistem informasi atau unit
komputer itu sendiri. Biasanya, audit atas pusat layanan komputer ini akan dilakukan sebelum
dilaksanakannya audit terhadap aplikasi guna memperoleh keyakinan integritas umum lingkungan
dimana sistem aplikasi komputer diimplementasikan. Struktur pengendalian umum atas operasi
pusat layanan komputer sudah tentu mendukung sisitem pengendalian intern aplikaso yang
dibangun untuk bidang tertentu. Dalam audit ini dilakukan pemeriksaan terhadap beberapa area,
seperti:
a) Berkaitan dengan pusat instalasi
b) Berkaitan dengan keamanan
c) Pengendalian terhadap akses data, laporan, dan program komputer
d) Provisi untuk asuransi

Beberapa unsur berkaitan dengan sistem informasi penting bagi manajemen contohnya:
• Pengukuran kinerja hardware
• Pengukuran kinerja software
• Personil
 Tahapan Audit

Sasaran Jangkauan Rencana

Subjek Audit
Audit Audit Preaudit

Prosedur Audit Dan Prosedur Pelaporan

Langkah-langkah Untuk Hasil Audit
Pengumpulan Bukti Evaluasi
Audit
 Next…
Dalam mengembangkan dan meningkatkan proses audit, auditor mungkin mengambil pendekatan
risiko audit (risks-based-audit). Pendekatan ini dilakukan dengan menaksir risiko dan memutuskan
prioritas pelaksanaan auditnya. Dengan memahami perusahaan, auditor dapat mengenali dan
mengkategorikan jenis risiko secara lebih baik dan menentukan pendekatan dalam perilaku audit.

Mengumpulkan Rencana dan Informasi

Next
Mendapatkan Pengertian Internal Control
Pendekatan Audit Berbasis
Melakukan Tes Ketaatan
Risiko
Melakukan Tes Substantif

Menyelesasikan Audit
 Teknik Penaksiran Risiko
Dalam menetapkan fungsi/unit yang akan diaudit, auditor memiliki berbagai pilihan bergantung pada
risiko subjek audit. Ada beberapa metode untuk melakukan penilaian risiko, yaitu :
● Pendekatan penaksiran dengan sistem scoring sistem
● Penilaian risiko secara judgemental
● Teknik kombinasi

Sesungguhnya auditing is about evaluating risks and controls. Salah satu kegiatan utama dalam
pelaksanaan audit adalah pengumpulan dan evaluasi bukti audit ( audit evidence collection ). khususnya
mengenai penaksiran tingkat risiko, menilai pengendalian yang sudah ada dan apakah sudah memadai,
serta pemeriksaan apakah pengendalian dilaksanakan sungguh-sungguh. Pengujian juga dapat
dilakukan dengan programming code (listing) review, test data and code comparison . Evaluasi audit
evidence dilakukan dengan tujuan untuk mendapatkan keyakinan tentang telah diselenggarakannya good
IT governance.

Perubahan lingkungan IT merubah pelaksanaan dan teknik pengumpulan dan evaluasi bukti audit. Oleh
karena itu disamping kriteria profesional yang lazimnya diperlukan dalam audit tradisional, pada audit SI
auditor juga harus menguasai hal-hal tang berkaitan dengan information system management ,
behavioral science dan __computer science . Bahkan karena audit SI lazimnya dilakukan oleh auditor
intern, agar hubungan kemitraan antara auditor dan auditee dapat terjalin baik, maka para auditor intern
perlu dilengkapi dengan pengetahuan psikologi audit.
 Audit IT Governance
IT Governance merupakan salah satu bagian terpenting dari kesuksesan penerapan good corporate
governance . IT governance memastikan pengukuran efektivitas dan efisiensi peningkatan proses bisnis
perusahaan melalui struktur terkait dengan TI menuju ke arah tujuan strategis perusahaan. IT
governance memadukan best practices proses perencanaan, pengelolaan, penerapan, pelaksanaan, dan
pengawasan kinerja TI, untuk memastikan TI benar-benar mendukung pencapaian sasaran perusahaan.
IT governance bukan hanya penting bagi teknisi TI saja. Direksi dan komisaris yang bertanggungjawab
terhadap investasi dan pengelolaan risiko perusahaan, adalah pihak utama yang harus memastikan
bahwa perusahaannya memiliki IT governance.

Keputusan bisnis yang baik harus didasarkan pada knowledge yang berasal dari informasi yang relevan,
komprehensif, dan tepat waktu. Informasi seperti itu dihasilkan oleh sistem informasi yang memenuhi
kriteria: efektif, efisien, kerahasiaan, keterpaduan, ketersediaan, kepatuhan terhadap rencana/atur, dan
keakuratan informasi yang dihasilkan (effectiveness, efficiency, confudentiality, integrity, avability,
compliance, dan reliability).

CobIT mendefinisikan control objectives sebagai: "statement of the desired result, or purpose to be
archived by implementing control procedurs..." . Pada edisi keempatnya CobIT framework terdiri dari 34
high-level control objectives yang dikelompokkan dalam 4 domains: Perencanaan & Organisasi,
Perolehan & Implementasi Sistem Aplikasi, Penyerahan & Dukungan Jasa Layanan Informasi, dan
Monitor and Evaluate.
 Next…
Suatu organisasi dapat dianggap sukses membangun TI dalam suatu kerangka sistem informasi yang
lengkap bila telah memenuhi kriteria ukuran informasi (efektifitas, efisiensi, kerahasiaan, integritas,
ketersediaan, pemenuhan dan keandalan), mencakup sumberdaya TI (orang-orang, aplikasi, teknologi,
fasilitas dan data) untuk memberikan dukungan penuh pada sasaran bisnis perusahaan.
Efektif Efisien
Jika sistem informasi sesuai dengan Jika penggunaan sumberdaya optimal (doing
kebutuhan pemakai (user requirement). The the right).
IT doing the right things

kerahasiaan Integritas
Memfokuskan proteksi terhadap Berhubungan dengan akurasi dan
informasi yang penting dari orang kelengkapan informasi.
yang tidak memiliki hak otoritasi.
Pemenuhan
ketersediaan Sesuai kebijakan organisasi dan aturan
Berkaitan dengan informasi selalu tersedia hukum, peraturan yang ada.
pada saat diperlukan proses bisnis.

ketersediaan
Terkait dengan ketentuan kecocokan informasi untuk
mengoperasikan perusahaan, perlaporan, dan
pertanggungjawaban.
 Next…
CobIT framework domains menjadi 34 high-level control objectives sebagai berikut :

01 02
Plant & Organize Acquire & Implement
 Define a strategic IT Plan and Di-
rection
 Identify automated solutions
 Define the information architecture
 Acquire and maintain application
 Determine technological direction
 Define IT processes, organization software
 Acquire and maintain technology
and relationship
 Manage the IT Investment infrastrukture
 Enable operation and use
 Communicate management aim
 Procesure IT resource
and direction
 Manage Changes
 Manage IT human resource
 Install and accredit solutions and
 Manage Quality
 Assess and manage It risks change
 Manage projects
Next…

03 04
Deliver & Support Monitor & Evaluate
 Define and manage service levels
 Manage third-party services
 Manage perfomance and copacity
 Ensure continuous service
 Monitor and evaluate IT
 Ensure systems security perfomance
 Identify and allocate costs  Monitor and evaluate internal
 Educate and train users control
 Manage service desk and incidents  Ensure regulatory compliance
 Manage the configuration  Provide IT Governance
 Manage problems
 Manage data
 Manage the physycal enviromental
 Manage operations
Contoh Prosedur Audit dalam Planning and
Organizations
Contoh Prosedur Audit dalam Planning and OrganizationsDalam Planning and Organizations control
objectives, dievaluasi hal-hal yang berkaitan dengan perencanaan dan pengorganisasian. High level
control objective yang pertama dari domain ini adalah "Define IT Strategic Plan". yang menyangkut
semua aspek sumberdaya (aplikasi, data/informasi, infrastruktur, teknologi, dan personil) terutama
dimaksudkan untuk tujuan efektivitas (primer) dan efisiensi (sekunder).

Penilaian kelengkapan dan kesesuaian pengembangan

rencana TI yang berkualitas meliputi sebagai berikut:

• Perencanaan organisasi dan proses bisnisnya, jangka

panjang dan jangka pendek, serta kesesuaiannya dengan
perencanaan TI jangka panjang dan jangka pendek
• Kebijakan organisasi, termasuk kebijakan TI yang
berkualitas
• Rencana manajemen perubahan TI
 Kode Etik Auditor SI
Dalam melakukan tugas pemeriksaan, auditor harus berpegang teguh pada kode etik, yang intinya ialah
bahwa setiap pemegang sertifikasi ISACA (Khususnya CISA), hendaknya :
a) Dalam mendukung implementasi sistem informasi, selalu mendorong kepatuhan/ketaatan terhadap
standard, prosedur dan kontrol internal.
b) Menjalankan tugas secara due diligence dan profesional care sesuai dengan standar profesional dan
best practices.
c) Melaksanakan tugas untuk kepentingan stakeholder sesuai aturan dan penuh kejujuran, melakukan
high standard of conduct, berkarakter, dan tidak melakukan hal-hal yang dapat mendiskreditkan
profesi.
d) Menjaga privacy confudentiality, kecuali memang ada keharusan discloure oleh ketentuan legal.
e) Memelihara kompetensi dan melakukan tugas-tugas pada bidang yang sesuai dengan
kompetensinya.
f) Memberikan informasi kepada pihak terkait yang memerlukan dan termasuk fakta penting yang
perlu diketahui.
g) Mendorong pelatihan untuk meningkatkan profesionalisme pihak terkait.

Apabila tidak dapat bekerja dengan menjaga kode etik tersebut, maka akan dikenakan sanksi
pemeriksaan yang dapat berakibat hukuman disiplin atau pencabutan sertifikasj/keanggotaan dalam
organisasi profesi tersebut.
Thank you
 Question

1. …

2. …

3. …