BAB VI
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
A. Sifat Audit
Asosiasi akuntansi Amerika mendefinisikan auditing sebagai berikut :
•
Auditing adalah sebuah proses
sistemeatis untuk secara obyektif mendapatkan dan mengevaluasi bukti mengenai pernyataan perihal tindakan dan
transaksi bernilai ekonomi, untuk memastikan tingkat kesesuaian antara
pernyataan tersebut dengan kriteria yang telah ditetapkan, serta
mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan
Auditing membutuhkan
pendekatan langkah per langkah yang dibentuk dengan perencanaan teliti serta
pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati.
Keterlibatan audit yaitu mengumpulkan, meninjau, dan mendokumentasikan
bukti audit.
Standar-standar Audit Internal
1. Berdasarkan According Institute of Internal Auditors
(IIA), tujuan dari audit internal adalah untuk mengevaluasi kecukupan dan
efektifitas sistem pengendalian internal perusahaan.
2. Menetapkan keluasan dari pelaksanaan tanggung
jawab yang benar-benar dilakukan.
Standar lingkup audit IIA memberikan garis besar atas tanggung jawab
auditor internal :
1. Melakukan tinjauan atas
keandalan dan integritas informasi operasional dan keuangan, serta bagaimana
hal tersebut diidentifikasi, diukur, diklasifikasi dan dilaporkan.
2. Menetapkan apakah sistem
telah didesain untuk sesuai dengan kebijakan operasional dan pelaporan,
perencanaan, prosedur, hukum, dan peraturan yang berlaku.
3. Melakukan tinjauan mengenai
bagaimana aset dijaga, dan memverifikasi keberadaan aset tersebut.
4. Mempelajari sumber daya
perusahaan untuk menetapkan seberapa efektif dan efisien mereka digunakan.
5. Melakukan tinjauan atas
operasional dan program perusahaan, untuk menetapkan apakah mereka telah
dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-tujuan
merek.
Terdapat tiga (3) jenis audit yang biasanya dilakukan, yaitu :
1. Audit
keuangan 3. Audit
operasional atau manajemen
2. Audit
sistem informasi
Jenis-jenis Kegiatan Audit Internal
1. Audit keuangan memeriksa
keandalan dan integritas catatan-catatan akuntansi (baik informasi keuangan dan
operasional).
2. Audit sistem informasi
melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya dengan
kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga aset
perusahaan.
3. Audit operasional atau
manajemen berkaitan dengan penggunaan secara ekonomis dan efisien sumber daya,
serta pencapaian sasaran dan tujuan yang telah ditetapkan.
Seluruh audit menggunakan
urutan kegiatan yang hampir sama, hingga dapat dibagi ke dalam empat langkah:
1. Merencanakan audit
a. Tetapkan lingkup dan tujuan
b. Organisasi tim audit
c. Kembangkan pengetahuan mengenai operasional
bisnis
d. Tinjauan hasil audit sebelumnya
e. Identifikasi faktor-faktor resiko
f. Siapkan program audit
2. Mengumpulkan bukti audit
a. Pengamatan atas kegiatan-kegiatan operasional
b. Tinjauan dokumentasi
c. Berdiskusi dengan para pegawai dan kuesioner
d. Pemeriksaan fisik aset
e. Konfirmasi melalui pihak ketiga
f. Melakukan ulang prosedur
g. Pembuktian dengan dokumen sumber
h. Review analitis dan pengambilan sampel audit
3. Mengevaluasi bukti audit
a. Nilai kualitas pengendalian internal
b. Nilai keandalan informasi
c. Nilai kinerja operasional
d. Pertimbangkan kebutuhan atas bukti tambahan
e. Pertimbangkan faktor-faktor resiko
f. Pertimbangkan faktor-faktor materialitas
g. Dokumentasikan penemuan-penemuan audit
4. Mengkomunikasikan hasil audit
a. Memformulasikan kesimpulan audit
b. Membuat rekomendasi bagi pihak manajemen
c. Mempersiapkan laporan audit
d. Menyajikan hasil-hasil audit ke pihak manajemen
B. Audit Sistem Informasi
Tujuan audit SIA adalah
untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem
tersebut.
Ketika melaksanakan audit
sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini
dipenuhi :
1. Perlengkapan keamanan melindungi
perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah,
modifikasi, atau penghancuran.
2. Pengembangan dan perolehan
program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak
manajemen.
3. Modifikasi program dilaksanakan dengan otorisasi
dan persetujuan pihak manajemen.
4. Pemrosesan transaksi, file,
laporan, dan catatan komputer lainnya telah akurat dan lengkap.
5. Data sumber yang tidak
akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan
ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
6. File data komputer telah akurat, lengkap, dan
dijaga kerahasiaannya.
Pendekatan Audit
Berdasarkan Risiko
Pendekatan
berdasarkan risiko untuk audit memberikan para auditor pemahaman yang jelas
atas kesalahan dan ketidak berturan yang dapat terjadi dan risiko serta
penyingkapan yang terkait.
Pemahaman atas
hal ini memberikan dasar yang kuat untuk mengembangkan rekomendasi pada pihak
manajemen mengenai bagaimana sistem pengendalian SIA seharusnya ditingkatkan.
Pendekatan empat tahap evaluasi pengendalian internal:
1. Tentukan ancaman-ancaman yang dihadapi SIA.
2. Identifikasi prosedur
pengendalian yang diimplementasikan untuk meminimalkan setiap ancaman dengan
mencegah atau mendeteksi kesalahan dan ketidak beraturan.
3. Evaluasi prosedur pengendalian.
4. Evaluasi kelemahan
(kesalahan dan ketidak-beraturan yang tidak terungkap oleh prosedur
pengendalian).
Kerangka untuk Audit Keamanan Komputer Jenis-jenis Kesalahan dan
Penipuan:
1. Pencurian atau kerusakan yang tidak disengaja
atas hardware dan file
2. Kehilangan, pencurian, atau
akses tidak sah ke program, file data, dan sumber daya sistem lainnya
3. Modifikasi atau penggunaan secara tidak sah
program dan file data
Jenis-jenis Prosedur Pengendalian:
1. Rencana keamanan/perlindungan informasi
2. Pembatasan atas akses secara fisik ke
perlengkapan komputer
3. Pengendalian penyimpanan dan pengiriman data
seperti enkripsi
4. Prosedur perlindungan dari virus
5. Menggunakan firewall
6. Rencana pemulihan dari bencana
7. Pemeliharaan pencegahan
8. Asuransi sistem informasi
Prosedur Audit: Tinjauan atas Sistem
1. Menginspeksi lokasi komputer
2. Wawancara dengan personil sistem informasi mengenai
prosedur keamanan
3. Meninjau kebijakan dan prosedur
4. Memeriksa kebijakan asuransi apabila terjadi
bencana atas sistem informasi
5. Memeriksa daftar akses sistem
6. Memeriksa rencana pemulihan dari bencana
Prosedur Audit: Uji Pengendalian
1. Mengamati prosedur akses ke lokasi komputer
2. Memverifikasi bahwa terdapat pengendalian dan
pengendalian tersebut berfungsi seperti dengan yang diharapkan
3. Menginvestigasi berbagai
kesalahan atau masalah untuk memastikan mereka ditangani dengan benar
4. Memeriksa berbagai uji yang sebelumnya telah
dilaksanakan
Pengendalian Pengimbang:
1. Kebijakan yang baik dalam hal personalia
2. Penggunaan pengendalian secara efektif
3. Pemisahan pekerjaan yang tidak boleh disatukan
Kerangka untuk Audit Pengembangan Program Jenis-jenis Kesalahan dan
Penipuan:
1. Kesalahan pemrograman yang tidak disengaja
2. Kode program yang tidak sah
Jenis-jenis Prosedur Pengendalian:
1. Otorisasi manajemen atas pengembangan
program dan persetujuannya untuk spesifikasi pemrograman
2. Persetujuan pemakai atas spesifikasi pemrograman
3. Pengujian keseluruhan atas program yang baru
4. Pengujian penerimaan oleh pemakai
5. Dokumentasi sistem yang lengkap
Prosedur Audit : Tinjauan atas sistem :
1. Tinjauan independen dan bersaman atas proses
pengembangan sistem
2. Tinjauan prosedur dan kebijakan
pengembangan/perolehan sistem
3. Tinjauan otorisasi sistem dan prosedur
persetujuannya
4. Tinjauan atas standar evaluasi pemrograman
5. Tinjauan atas standar dokumentasi program
6. Tinjauan atas pengujian program dan prosedur
persetujuan pengujian
Prosedur Audit : Uji Pengendalian
1. Wawancara dengan pemakai
mengenai keterlibatan mereka dalam perolehan/pengembangan serta implementasi
sistem
2. Tinjauan atas notulen rapat tim pengembangan
untuk mendapat bukti keterlibatan
3. Memverifikasi poin-poin
penting penolakan manajemen dan pemakai dalam proses pengembangan
4. Tinjauan atas spesifikasi pengujian, data uji,
dan hasil pengujian sistem
Pengendalian Pengimbang:
1. Pengendalian pemrosesan yang kokoh (kuat)
2. Pemrosesan secara independen data uji oleh auditor
Kerangka untuk Audit Prosedur Modifikasi Program Jenis-jenis Kesalahan dan
Penipuan:
1. Kesalahan pemrograman yang tidak disengaja
2. Kode program yang tidak sah
Jenis-jenis Prosedur Pengendalian:
1. Daftar berbagai komponen program yang akan
dimodifikasi
2. Otorisasi dan persetujuan pihak manajemen atas
modifikasi program
3. Persetujuan pemakai atas perubahan spesifikasi
program
4. Pengujian keseluruhan atas perubahan program,
termasuk uji penerimaan pemakai
Prosedur Audit: Tinjauan atas Sistem
1. Tinjau kebijakan, standar, dan prosedur
modifikasi program
2. Tinjau standar dokumentasi untuk modifikasi
program
3. Tinjau pengujian modifikasi program serta uji
prosedur pemberian persetujuan
4. Diskusikan kebijakan dan
prosedur modifikasi program dengan pihak manajemen, pemakai sistem, dan
personil sistem informasi
Prosedur Audit : Uji Pengendalian
1. Verifikasi pemakai dan
persetujuan manajemen sistem informasi atas perubahan program
2. Verifikasi pemakai mengenai keterlibatan dalam
perancangan dan omplementasi sistem
3. Memverifikasi poin-poin
penting penolakan manajemen dan pemakai dalam proses pengembangan
4. Tinjauan atas notulen rapat tim pengembangan
untuk mendapat bukti keterlibatan
5. Tinjauan atas spesifikasi pengujian, data uji,
dan hasil dari pengujian sistem
Pengendalian Pengimbang:
1. Pengendalian pemrosesan yang bagus
2. Uji audit independen untuk perubahan program
yang tidak sah atau yang salah
3. Memverifikasi poin-poin
penting penolakan manajemen dan pemakai dalam proses pengembangan
4. Tinjauan atas spesifikasi pengujian, data uji,
dan hasil pengujian sistem
Kerangka untuk Melakukan Audit Pengendalian Pemrosesan Komputer
Jenis-jenis Kesalahan dan
Penipuan:
1. Kegagalan untuk mendeteksi input data yang
salah, tidak lengkap, atau tidak sah
2. Kegagalan untuk memperbaiki
kesalahan yang ditandai oleh prosedur edit data dengan tepat
3. Masuknya kesalahan dalam file atau database
selama pembaruan
Jenis-jenis Prosedur Pengendalian:
1. Rutinitas edit data komputer
2. Penggunaan dengan benar label file eksternal dan
internal
3. Prosedur perbaikan kesalahan yang efektif
4. Daftar dan ringkasan
perubahan file yang disiapkan untuk tinjauan atas departemen pemakai
Prosedur Audit : Tinjauan Sistem
1. Meninjau dokumentasi administratif untuk standar
pengendalian pemrosesan
2. Mengamati operasional komputer dan fungsi
pengendalian data
3. Meninjau salinan daftar kesalahan, laporan
jumlah total batch, dan daftar perubahan file
Prosedur Audit: Uji Pengendalian
1. Mengevaluasi kecukupan dan kelengkapan
pengendalian edit data
2. Memverifikasi kepatuhan
pada prosedur pengendalian pemrosesan dengan cara mengamati operasional
komputer dan fungsi pengendalian data
3. Menelusuri pengaturan
sampel kesalahan yang ditandai oleh rutinitas edit data untuk memastikan adanya
penanganan yang tepat
4. Mengawasi sistem pemrosesan on-line dengan
mengunakan teknik audit bersamaan
Pengendalian Pengimbang:
1. Pengendalian yang kokoh terhadap pemakai
2. Pengendalian data sumber yang efektif
Kerangka untuk Audit Pengendalian Data Sumber
Jenis-jenis Kesalahan dan
Penipuan:
1. Data sumber yang tidak akurat
2. Data sumber yang tidak sah
3. Memverifikasi poin-poin
penting penolakan manajemen dan pemakai dalam proses pengembangan
4. Tinjauan atas spesifikasi pengujian, data uji,
dan hasil pengujian sistem
Jenis-jenis Prosedur Pengendalian:
1. Otorisasi pemakai atas input data sumber
2. Penanganan input data sumber secara efektif oleh
personol pengendalian data
3. Mendaftar penerimaan, perpindahan, dan
pemrosesan input data sumber
4. Penggunaan dokumen yang dapat dikirim kembali
Prosedur Audit: Tinjauan Sistem
1. Meninjau dokumentasi administratif atas standar
pengendalian data sumber
2. Mendokumentasikan
pengendalian data sumber akuntansi dengan menggunakan sebuah matriks
pengendalian input
3. Meninjau dokumentasi sistem
akuntansi untuk mengidentifikasi isi data sumber dan langkah pemrosesan serta
pengendalian data sumber tertentu yang digunakan.
Prosedur Audit: Uji Pengendalian
1. Mengamati dan mengevaluasi
jalannya departemen pengendalian data dan prosedur pengendalian data tertentu
2. Merekonsiliasi sebuah sampel jumlah total batch
dan menindaklanjuti penyimpangan
3. Memeriksa beberapa sampel
data sumber akuntansi dalam hal keberadaan otorisasi yang memadai
Pengendalian Pengimbang:
1. Pengendalian pemrosesan yang kokoh
2. Pengendalian yang kokoh terhadap pemakai
Kerangka untuk Audit Pengendalian File Data
Jenis-jenis Kesalahan dan
Penipuan:
1. Modifikasi atau pengungkapan yang tidak sah atas
data yang disimpan
2. Penghancuran atas data yang
disimpan akibat kesalahan yang tidak disengaja, kegagalan fungsi hardware atau
software, dan tindakan sengaja untuk melakukan sabotase atau vandalisme
Jenis-jenis Prosedur Pengendalian:
1. Pengendalian pembaruan bersamaan
2. Penggunaan yang sesuai atas label file dan
mekanisme write-protection
3. Penggunaan software perlindungan virus
Prosedur Audit: Tinjauan Sistem
1. Memeriksa rencana pemulihan dari bencana
2. Mendiskusikan prosedur
pengendalian file data dengan para manajer dan operator sistem
3. Meninjau kebijakan dan prosedur akses logika
4. Meninjau dokumentasi atas fungsi-fungsi
operasional perpustakaan file
Prosedur Audit: Uji Pengendalian
1. Mengamati dan mengevaluasi operasional
perpustakaan file
2. Meninjau catatan pemberian dan modifikasi
password
3. Mengamati persiapan dan penyimpanan di luar
lokasi kantor dari file cadangan
4. Merekonsiliasi jumlah total
file utama dengan jumlah total pengendalian yang diproses secara terpisah
Pengendalian Pengimbang:
1. Pengendalian keamanan komputer secara efektif
2. Pengendalian pemakai yang kokoh
3. Pengendalian pemrosesan yang kokoh
C. Software Komputer
Beberapa program komputer,
yang disebut Computer Audit Software
(CAS) atau generalized audit software (GAS),
telah dibuat secara khusus untuk auditor.
CAS adalah program komputer
yang, berdasarkan spesifikasi dari auditor, menghasilkan program yang
melaksanakan fungsi-fungsi audit.
Pemakaian Software Komputer
Langkah pertama auditor
adalah memutuskan tujuan-tujuan audit, mempelajari file serta databse yang akan
diaudit, merancang laporan audit, dan menetapkan bagaimana cara
menghasilkannya.
Informasi ini akan dicatat
dalam lembar spesifikasi dan dimasukkan ke dalam sistem melalui program input
data.
Program ini membuat catatan
spesifikasi yang digunakan CAS untuk menghasilkan satu atau lebih program
audit.
Program audit memproses
file-file sumber dan melaksanakan operasional audit yang dibutuhkan untuk
menghasilkan laporan audit yang telah ditentukan.
|
Fungsi Umum Software Audit Komputer
|
|
|
|
|
1.
|
Pemformatan ulang
|
5.
|
Analisis data
|
|
2.
|
Manipulasi file
|
6.
|
Pemrosesan file
|
|
3.
|
Perhitungan
|
7.
|
Statistik
|
|
4.
|
Pemilihan data
|
8.
|
Pembuatan laporan
|
D. Audit Operasional atas
Suatu Sistm Informasi Akuntansi
Berbagai teknik dan
prosedur yang digunakan dalam audit operasional hampir sama dengan yang
diterapkan dalam audit sistem informasi dan keuangan.
Perbedaan utamanya adalah
bahwa lingkup audit sistem informasi dibatasi pada pengendalian internal,
sementara lingkup audit keuangan dibatasi pada output sistem.
Sebaliknya, lingkup audit
operasional lebih luas, melintasi seluruh aspek manajemen sistem informasi.
Tujuan audit operasional mencakup faktor-faktor seperti:
1. Efektivitas
2. Efisiensi
3. Pencapaian tujuan.
Pengumpulan bukti mencakup kegiatan-kegiatan berikut ini :
1. Meninjau kebijakan dokumentasi operasional
2. Melakukan konfirmasi atas
prosedur dengan pihak manajemen serta personil operasional
Prosedur pengumpulan bukti:
1. Mengamati fungsi-fungsi dan kegiatan operasional
2. Memeriksa rencana dan laporan keuangan serta
operasional
3. Menguji akurasi informasi operasional
4. Menguji pengendalian
