bab 10-sistem audit
TRANSCRIPT
I. Pengertian Audit
Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan
mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai
ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan
criteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para
pemakai yang berkepentingan.
Audit membutuhkan pendekatan langkah per langkah yang dibentuk dengan peren-
canaa teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati.
System dan auditing electronic data processing- pemrosesan data electronic (PLE)
telah ada selama beberapa decade terakhir. Meskipun istilah PDE sekarang ini jus-
tru sudah terasa kuno, tetapi “ PDE auditing masih tetap banyak digunakan. Istilah
PDE auditing umumnya digunakan untuk menerangkan dua jenis aktivitas yang
berhubungan dengan komputer.jenis aktivitas ini biasanya dilakukan oleh auditor
selama pengujian ketaatan (compliance test), dan disebut sebagai auditing melalui
computer.
Penggunaan istilah lainnya aalah untuk menerangkan pemanfaatan computer oleh
auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dilakukan secara
manual. Jenis aktivitas ini disebut sebagai sebagai auditing dengan computer. Ke-
banyakan audit meliputi pengujian ketaatan dan pengujian substantif.
II. Tujuan Audit
Tujuan dan tanggung jawab utama auditor ekstern adalah menilai kewajaran lapo-
ran keuangan suatu perusahaan. Auditor ekstern melayani para pemegang saham,
pemerintah, dan masyarakat luas
Secara umum tujuan dari auditor intern acalah melayani kebutuhan manajemen pe-
rusahaan. Sedangkan berdasarkan Institute of Internal Auditor (IIA), tujuan dari au-
dit internal adalah untuk mengevaluasi kecukupan dan efektivitas system pengen-
dalian internal perusahaan, serta menetapkan keluasan dari pelaksanaan tanggung
jawab yang benar dilakukan
Ada lima standar lingkup audit menurut Institute of Internal Auditor, yaitu :
Audit Sistem Informasi Berbasis KomputerPage 1
a. Melakukan tinjauan atas keandalan dan integritas informasi operasional an
keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan
dilaporkan.
b. Menetapkan apakah system telah didesain untuk sesuai dengan kebijakan op-
erasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang
berlaku.
c. Melakukan tinjauan mengenai bagaimana asset dijaga, dan memverifikasi ke-
beradaan asset tersebut.
d. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan
efisien mereka digunakan
e. Melakukan tinjauan atas operasional dan program perusahaan, untuk menetap-
kan apakah mereka telah dilaksanakan sesuai dengan rencana dan apakah
mereka dapat memenuhi tujuan-tujuan mereka.
Audit secara umum dibagi menjadi dua komponen dasar yaitu :
1. Audit Interim
Bertujuan menetapkan tingkat keandalan system pengendalian intern. Biasanya
untuk ini diperlukan pengujian ketaatan. Tujuan dari pengujian ketaatan adalah
untuk melihat eksistensi, efektivitas, dan pengecekan kontinuitas kegiatan yang
mengandalkan system pengendalian tersebut.
2. Audit laporan keuangan
Untuk audit laporan keuangan mencakup pengujian substantif, pengujian ini
merupakan verifikasi langsung terhadap angka-angka laporan keuangan,
berdasarkan hasil pengujian pengendalian intern dalam audit interim
III. Jenis- jenis Kegiatan Audit Internal
Terdapat tiga jenis audit yang biasanya dilakukan yaitu :
1. Audit keuangan
Memeriksa keandalan dan integritas catatan-catatan akuntansi (baik informasi
keuangan dan operasional) dan menghubungkan dengan standar pertama
dalam lima standar lingkup audit menurut IIA
2. Audit system informasi
Audit Sistem Informasi Berbasis KomputerPage 2
Melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya den-
gan kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga as-
set perusahaan.
3. Audit operasional atau manajemen
Berkaitan dengan penggunaan secara ekonomis dan efisiensi sumber daya,
serta pencapaian sasaran dan tujuan yang telah ditetapkan.
IV. Proses audit
Seluruh audit menggunakan urutan kegiatan yang hamper sama, hingga dapat
dibagi ke dalam empat langkah yaitu :
a. Merencanakan Audit
Tujuan dari perencanaan audit adalah untuk menetapkan mengapa,
bagaimana, kapan dan oleh siapa audit akan dilaksanakan.
Dalam merencanakan sebuah audit internal ada beberapa langkah yaitu :
1. Menetapkan audit dan tujuan audit
Audit internal dapat berfokus pada pengendalian internal, informasi keuan-
gan, kinerja operasional. Sebuah tim audit yang memiliki pengalaman dan
keahlian yang dibutuhkan akan dibentuk. Para anggota tim menjadi lebih
dalam mengenali pihak yang diaudit melalui diskusi dengan personil tingkat
supervisor dan operasional, melakukan tinjauan atas dokumentasi system,
dan melakukan tinjauan atas penemuan-penemuan dalam audit terdahulu.
Sebuah audit direncanakan sedemikian rupa agar sebagian besar kegiatan
audit berfokus pada area-area yang memiliki faktor-faktor risiko tertinggi.
Ada tiga jenis resiko dalam melakukan audit, yaitu :
Risiko inheren
Toleransi atas risiko yang material dengan mempertimbangkan ketidak-
beradaan pengendalian
Risiko pengendalian
Risiko yang timbul dai kesalahan penyajian yang material dan
berdampak hingga ke struktur pengendalian internal serta ke laporan
keuangan. Sebuah perusahaan memiliki pengendalian internal lemah
memiliki lebih banyak risiko pengendalian daripada perusahaan dengan
Audit Sistem Informasi Berbasis KomputerPage 3
dengan pengendalian internal yang kuat. Risiko pengendalian dapat dite-
tapkan dengan cara melakukan tinjauan atas lingkungan pengendalian
yang diidentifikasi dalam audit terdahulu, dan dengan mengevaluasi
bagaimana kelemahan-kelemahan tersebut telah diperbaiki.
Risiko pendeteksian
Risiko yang timbul akibat tidak dapat terdeteksinya sebuah kesalahan
atau kesalahan penyajian oleh auditor dan prosedur auditor.
2. Organisir tim audit
3. Kembangkan pengetahuan mengenai operasional bisnis
4. Tinjauan hasil audit sebelumnya
5. Identifikasi factor-faktor risiko
6. Siapkan program audit
b. Mengumpulkan bukti
Ada beberapa metode yang dilakukan auditor dalam mengumpulkan bukti, an-
tara lain :
1. Pengamatan atas berbagai kegiatan yang diaudit
2. Melakukan peninjauan atas dokumentasi
3. Diskusi
4. Kuesioner
5. Pemeriksaan fisik
6. Melakukan konfirmasi
7. Melakukan prosedur ulang
8. Pembuktian
9. Tinjauan analisis
Oleh karena banyak pengujian dan prosedur audit yang tidak layak untuk dilak-
sanakan di seluruh rangkaian kegiatan, catatan, asset atau dokumen yang ditin-
jau, pengujian dan prosedur tersebut sering kali dilaksanakan dengan mengam-
bil sampel.
c. Mengevaluasi bukti
Audit Sistem Informasi Berbasis KomputerPage 4
Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan audit ter-
tentu, dan memutuskan apakah bukti tersebut mendukung kesimpulan atau
tidak. Apabila kurang mendukung, auditor akan merencanakan dan melak-
sanakan prosedur tambahan sampai bukti yang cukup dapat dikumpulkan untuk
membuat kesimpulan yang kuat.
Materialitas dan kepastian yang wajar merupakan hal yang penting ketika ingin
memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk
mengevaluasi bukti. Oleh karena kesalahan selalu ada pada system manapun,
para auditor berfokus untuk mendeteksi dan melaporkan kesalahan-kesalahan
yang memiliki dampak signifikan pada interpretasi pihak manajemen atas pene-
muan-penemuan audit. Materialitas secara umum lebih penting untuk audit ek-
sternal, yang penekanan umumnya adalah kejujuran penyajian laporan keuan-
gan, bukan untuk audit internal, yang berfokus untuk menetapkan tingkat ke-
sesuaian dengan kebijakan manajemen.
Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang mate-
rial dalam informasi atau proses yang diaudit. Oleh karena sangat mahal untuk
mencari kepastian yang lengkap, audit harus bersedia menerima sejumlah
risiko bahwa kesimpulan audit tidak benar. Merupakan hal yang penting untuk
disadari bahwa ketika risiko inheren atau pengendalian tinggi, auditor harus
mendapatkan keyakinan yang lebih besar untuk mengimbangi ketidakpastian
dan risiko yang lebih besar.
d. Mengkomunikasikan hasil audit
Auditor mempersiapkan laporan tertulis (dan terkadang lisan) yang meringkas
penemuan-penemuan dan berbagai rekomendasi audit, dengan referensi bukti
pendukung dalam lembar kerja. Laporan ini disajikan kepada pihak manajemen,
komite audit, dewan komisaris, dan pihak lain yang terkait. Setelah ada komu-
nikasi, maka para auditor sering kali melaksanakan penelitian lebih lanjut untuk
memastikan bahwa rekomendasi mereka telah diimplementasikan.
V. Pendekatan Audit Berdasarkan Risiko (The Risk-Based Audit
Approach)
Audit Sistem Informasi Berbasis KomputerPage 5
Pendekatan empat tahap untuk melakukan evaluasi pengendalian internal:
1. Tentukan Ancaman-ancaman yang dihadapi SIA
2. Identifikasi prosedur pengendalian yang diimplementasikan untuk memini-
malkan setiap ancaman dengan mencegah atau mendeteksi kesalahan dan
ketidakberaturan.
3. Evaluasi prosedur pengendalian
4. Evaluasi kelemahan.
VI. AUDIT SISTEM INFORMASI
Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit
sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini:
1. Perlengkapan keamanan melindungi komputer, program, komunikasi dan data
dari akses yang tidak sah, modifikasi, atau penghancuran
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi
khusus dan umum dari pihak manajeman
3. Modifikasi progaram dilaksanakan dengan otorisasi dan persetujuan pihak
manajemen
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat
dan lengkap
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat
diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah
ditetapkan
6. file data komputer telah akurat, lengkap dan dijaga kerahasiaannya
Setiap tujuan tersebut didiskusikan secara lebih terinci dalam bagian berikut. Setiap
deskripsi terdiri dari rencana untuk mencapai setiap tujuan diatas, dan juga teknik
serta prosedur yang diperlukan untuk melaksanakan rencana audit tersebut.
Tujuan 1:
Keamanan Keseluruhan
Audit Sistem Informasi Berbasis KomputerPage 6
Gambar 1.1 melukiskan hubungan diantara keenam tujuan ini dengan komponen-
komponen sistem informasi.
Audit Sistem Informasi Berbasis KomputerPage 7
Data sumbera
Entri data
Data sumber
Pemrosesan
Output
Program File
Tujuan 5 :Data Sumber
Tujuan : 2Pengembangan dan perolehan program
Tujuan : 6File data
Tujuan 4 : Pemrosesan Komputer
Tujuan 3 : Modifikasi Program
Tujuan 1: Keamanan Keseluruhan
Dalam tujuan 1 ini berisi tentang kerangka untuk audit keamanan komputer. Tujuan 1
ini menunjukkan hal-hal berikut ini:
1. Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini
mencakup kerusakan yang disengaja dan tidak disengaja atas aset sistem; akses tidak
sah, pengungkapan atau modifikasi data dan program; pencurian serta interupsi atas
kegiatan bisnis yang penting.
2. Prosedur pengendalian untuk meminimalkan kesalahan dan penipuan keamanan. Hal ini
mencakup mengembangkan rencana keamanan/perlindungan informasi dari virus,
mengimplementasikan firewall, mengadakan pengendalian atas pengiriman data, dan
mencegah serta memulihkan diri dari kegagalan sistem atau bencana lainnya
3. Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi komputer, melakukan
wawancara dengan para personalianya; meninjau kebijakan dan prosedur; serta
memeriksa daftar akses, kebijakan asuransi , dan rencana pemulihan dari bencana
4. Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan
dengan cara mengamati prosedur, menverifikasi bahwa terdapat pengendalian tersebut
berfungsi seperti yang diharapkan, menginvestigasi berbagai kesalahan atau masalah
untuk memastikan mereka ditangani dengan benar. serta memeriksa berbagai uji yang
sebelumnya telah dilaksanakan. Contohnya, salah satu cara untuk menguji pengendalian
akses logika adalah dengan mencoba melanggar masuk ke sistem. Selama audit
keamanan sebuah badan pemerintah Amerika Serikat, para auditor menggunakan
terminal-terminal badan tersebut untuk mendapatkan akses secara tidak sah ke sistem
komputer mereka, mematikan prosedur pemeriksaan keamanannya, dan mengendalikan
sistem tersebut dari terminal yang mereka pakai. Kegagalan keamanan dapat terjadi
karena kurangnya pengendalian administrasif software keamanan yang tidak memadai.
5. Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah tidak cukup, maka
organisasi menghadapi resiko yang berat. Kebijakan personil yang baik dan pemisahan
tugas secara efektif atas pekerjaan yang tidak boleh disatukan, dalam beberapa hal dapat
mengimbangi keamanan komputer yang kurang tersebut. Oleh karena hampir tidak
mungkin pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan
keamanan komputer yang kurang baik, para auditor harus sangat merekomendasikan
Audit Sistem Informasi Berbasis KomputerPage 8
agar kelemahan keamanan tersebut diperbaiki
Tujuan 2 : Pengembangan Perolehan Program
Dua hal yang dapat salah dalam pengembangan program: (1) kesalahan yang tidak
disengaja karena adanya kesalahanpahaman atas spesifikasi sistem atau kecerobohan
pemrograman, dan (2) perintah tidak sah yang dengan sengaja dimasukkan kedalam
program. Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta
persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi
yang memadai.
Peran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan
independen atas kegiatan pengembangan sistem. Untuk mempertahankan objektivitas yang
dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak
dilibatkan dalam pengembangan sistem. Selama peninjauan sistem, para auditor harus
mendapat pemahaman mengenai prosedur pengembangan dengan mendiskusikannya
bersama pihak manajemen, pemakaian sistem, dan para personil sistem informasi.
Untuk menguji pengendalian pengembangan sistem, para auditor harus
mewawancarai para manajer dan pemakai sistem, memeriksa persetujuan pengembangan,
dan meninjau notulen rapat tim pengembangan sistem. Para auditor harus meninjau secara
keseluruhan semua dokumentasi yang berhubungan dengan proses pengujian dan
memastikan bahwa seluruh perubahan program telah diuji. Auditor harus memeriksa
spesifikasi uji, meninjau data uji, dan mengevaluasi hasil pengujian. Apabila hasil pengujian
tidak sesuai dengan harapan, maka auditor harus memastikan bagaimana masalah tersebut
diatas. Pengendalian pemrosesan yang kokoh (lihat tujuan 4) kadang kala dapat
mengimbangi pengendalian pengembangan yang kurang baik. Apabila para auditor
bergantung pada pengendalian pengimbang untuk pemrosesan, mereka harus mendapatkan
bukti yang mendukung ketaatan terhadap sistem, dengan menggunakan berbagai teknik,
seperti pengujian data pemrosesan independent. Apabila bukti sejenis ini tidak bisa
didapatkan, mereka dapat menyimpulkan bahwa terdapat kelemahan yang material dalam
pengendalian internal, dan bahwa resiko kesalahan atau penipuan dalam program aplikasi
terlalu tinggi hingga tidak dapat diterima.
Audit Sistem Informasi Berbasis KomputerPage 9
Tujuan 3: Modifikasi Program
Bagian yang penting dari uji pengendalian yang dilaksanakan seorang auditor adalah
memverifikasi bahwa perubahan program telah diidentifikasi, didaftar, disetujui, diuji, dan
didokumentasikan. Langkah ini mensyaratkan auditor untuk mengamati bagaimana
perubahan diimplementasikan untuk memverifikasi bahwa program pengembangan dan
produksi yang terpisah tetap dilaksanakan dan bahwa perubahan tersebut
diimplementasikan oleh seorang yang independen dari pemakai dan fungsi pemrograman.
Auditor harus meninjau tabel pengendalian akses program pengembangan untuk
memverifikasi bahwa hanya pemakai yang ditugaskan untuk melaksanakan modifikasi, yang
memiliki akses ke sistem.
Terdapat dua teknik tambahan untuk mendeteksi perubahan yang tidak sah. Teknik
pemrosesan ulang, menggunakan salinan kode sumber yang telah diverifikasi. Tanpa
pemberitahuan sebelumnya, auditor menggunakan program ini untuk memproses ulang data
dan membandingkan outputnya dengan data perusahaan. Penyimpangan dari kedua pasang
output tersebut akan diselidiki untuk memastikan penyebabnya. Simulasi paralel adalah
hampir sama dengan teknik pemrosesan ulang, kecuali bahwa auditoral yang menulis
program, bukan menggunakan salinan kode sumber yang telah diverifikasi dan disimpan.
Hasil dari simulasi auditor akan dibandingkan dengan hasil milik perusahaan, dan perbedaan
apapun akan diselidiki. Simulasi paralel dapat digunakan untuk menguji sebuah program
selama proses implementasi. Contohnya, Jason menggunakan teknik ini untuk menguji
beberapa bagian dari sistem penggajian baru SPP.
Para auditor harus mengamati pengujian dan implementasi, meninjau otorisasi dan
dokumen yang terkait, dan jika perlu, melaksanakan pengujian independen untuk setiap
perubahan program yang besar. Apabila langkah ini dilewati dan pengendalian program
kemudian ditemukan tidak memadai, maka tidak mungkin mengandalkan output program.
Sebagai tambahan, para auditor harus selalu menguji program tanpa pemberitahuan
sebelumnya, sebagai tindakan pencegahan atas perubahan program secara tidak sah, yang
disusupkan setelah pemeriksaan selesai dan kemudian disingkirkan tepat sebelum jadwal
audit berikutnya.
Apabila pengendalian internal atas perubahan program kurang baik, maka
pengendalian pengimbang seperti perbandingan kode sumber, keberadaan pengendalian
Audit Sistem Informasi Berbasis KomputerPage 10
pemrosesan yang baik, pengujian secara independen oleh auditor, dalam beberapa hal
dapat mengimbangi kelemahan tersebut. Akan tetapi, jika kelemahan tersebut disebabkan
karena pembatasan atas akses file program yang tidak memadai, auditor harus sangat
merekomendasikan tindakan untk memperkuat pengendalian akses logika di organisasi
tersebut.
Tujuan 4: Pemrosesan Komputer
Fokus tujuan keempat adalah pemrosesan transaksi, file, dan catatan komputer untuk
memperbaharui file serta database, dan digunakan untuk menghasilkan laporan. Dalam
pemrosesan komputer, sistem dapat saja gagal, mendeteksi input yang salah, mempebaiki
kesalahan input secara tidak tepat, memproses input yang salah, atau menyebarkan atau
mengungkap output secara tidak benar.
Beberapa teknik khusus memungkinkan auditor untuk menggunakan komputer dalam
menguji pengendalian pemrosesan. Teknik tersebut mencakup pemrosesan data uji,
menggunakan teknik audit bersamaan, dan menganalisis logika program. Setiap teknik
tersebut memiliki kelebihan dan kelemahan masing-masing, yang berarti bahwa mereka
mungkin lebih tepat disuatu situasi tetapi kurang tepat disituasi lainnya. Tidak ada satupun
teknik yang cocok untuk semua keadaan. Para auditor seharusnya tidak mengungkapkan
teknik apa yang mereka gunakan, karena hal ini dapat mengurangi efektifitas pengujian
audit.
Memproses Data Uji
Salah satu cara untuk menguji program adalah dengan memproses serangkaian
perkiraan (hypothetical) transaksi valid dan tidak valid . Program tersebut harus memproses
seluruh transaksi yang valid dengan benar dan mengidentifikasi serta menolak transaksi
yang tidak valid. Seluruh jalur logika harus diperiksa apakah berfungsi dengan baik atau
tidak, melalui satu atau lebih uji transaksi. Contoh-contoh data yang valid adalah catatan
dengan data yang hilang, field yang berisi jumlah yang tidak wajar banyaknya, nomor
rekening atau kode pemrosesan yang salah, data non numeris dalam field numerik, serta
catatan yang tidak berurut.
Sumber-sumber berikut ini dapat membantu untuk mempersiapkan data uji:
Audit Sistem Informasi Berbasis KomputerPage 11
Daftar transaksi yang sebenarnya
Transaksi uji yang digunakan programer untuk menguji program tersebut
Program pembuat data uji (test data generator program), yang secara otomatis
mempersiapkan data uji berdasarkan spesifikasi program
Didalam sistem pemrosesan secara batch, program perusahaan dan salinan dari file
yang terkait digunakan untuk memproses data uji. Hasilnya akan dibandingkan dengan
output yang telah diperkirakan sebelumnya; penyimpangan menunjukkan kesalahan
pemrosesan atau kurangnya pengendalian dan harus diselidiki secara keseluruhan.
Didalam sistem online, para auditor memasukkan data uji dengan menggunakan alat
untuk memasukkan daya, seperti PC atau terminal, dan mengamati serta mendaftar respon
sistem. Apabila sistem menerima transakasi yang salah atau tidak valid, auditor akan
menelusuri kembali pengaruh transaksi tersebut, menyelidiki masalahnya, dan memperbaiki
kelemahannya.
Walaupun pemrosesan transaksi uji biasanya efektif teknik tersebut memiliki beberapa
kelemahan;
1. Auditor harus menghabiskan banyak waktu untuk mengembangkan pemahaman atas
sistem yang diperiksanya dan mempersiapkan serangkaian transaksi uji yang memadai
2. Perhatian harus diberikan untuk memastikan bahwa data uji tidak mempengaruhi file dan
database perusahaan. Auditor dapat menelusuri kembali (reserve) pengaruh transaksi uji
atau memproses transaks tersebut dalam proses terpisah dengan menggunakan salinan
file atau database yang terkait. Akan tetapi, pemrosesan terpisah akan menghilangkan
beberapa keotentikan yang didapat dari proses data uji, dengan transaksi rutin. Selain itu,
prosedur penelusuran kembali (reversal procedures) juga dapat mengungkapkan
keberadaan dan sifat dari uji yang dilaksanakan auditor pada personil utama, sehingga
menjadi kurang efektif dibanding uji yang tersembunyi.
Teknik Audit Bersamaan
Jutaan dolar transaksi dapat diproses oleh sistem online tanpa meninggalkan jejak
audit yang memuaskan. Dalam kasus semacam ini, bukti dikumpulkan setelah pemrosesan
data dianggap tidak cukup untuk tujuan audit. Sebagai tambahan, oleh karena banyak sistem
on-line memproses transaksi secara terus menerus, merupakan hal yang sulit atau tidak
Audit Sistem Informasi Berbasis KomputerPage 12
mungkin untuk menghentikan sestem tersebut dan melaksanakan pengujian audit. Jadi,
auditor menggunakan teknik audit bersamaan untuk secara terus menerus mengawasi
sistem dan mengumpulkan bukti audit sementara data langsung diproses selama jam kerja
normal. Teknik audit bersamaan menggunakan modul audit melekat (embedded audit
module), yaitu bagian-bagian dari kode program yang melaksanakan fungsi audit. Mereka
juga melaporkan hasil pengujian keauditor dan menyimpan bukti yang dikumpulkan untuk
ditinjau oleh auditor. Teknik audit bersamaan sangat memakan waktu dan sulit digunakan,
tetapi tidak akan terlalu sulit dilaksanakan apabila digabungkan ketika program sedang
dikembangkan
Para auditor umumnya menggunakan lima teknik audit bersamaan. Integrated test
facility (ITF) adalah teknik yang menempatkan serangkaian kecil catatan fiktif di file utama.
Catatan tesebut dapat saja mewakili bagian, departemen, atau kantor cabang, pelanggan,
atau pemasok fiktif. Auditor akan membandingkan pemrosesan dengan hasil yang
diharapkan, untuk memverifikasi bahwa sistem tersebut beserta pengendaliannya beroperasi
dengan benar.
ITF sangat sesuai untuk menguji sistem pemrosesan on-line, karena transaksi uji
dapat dilakukan sesering mungkin, diproses bersama dengan transaksi yang sesungguhnya
dan ditelusuri melalui seluruh tahap pemrosesan. Semua ini dapat dicapai tanpa
mengganggu operasional pemrosesan yang normal. Akan tetapi, perhatian harus diberikan
untuk tidak menggabungkan catatan fiktif dengan yang sesungguhnya selama proses
pelaporan.
Teknik snapshot memeriksa cara transaksi diproses. Transaksi yang dipilih ditandai
dengan kode khusus yang akan memicu proses snapshot. Modul-modul audit dalam program
terkait mencatat transaksi-transaksi ini beserta dengan catatan file utamanya, sebelum dan
sesudah pemrosesan. Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor
untuk memverifikasi bahwa seluruh langkah pemrosesan telah dengan benar dilaksanakan.
System control audit review file (SCARF) menggunakan modul audit melekat untuk
secara terus menerus mengawasi kegiatan transaksi dan mengumpulkan data atas transaksi
yang menjadi tujuan audit. Data tersebut dicatat dalam file SCARF atau daftar audit (audit
log). Transaksi-transaksi yang dicatat dalam file daftar audit adalah yang melebihi batas nilai
uang yang telah ditentukan, atau berisi penurunan nilai aset. Secara periodek, auditor akan
Audit Sistem Informasi Berbasis KomputerPage 13
menerima cetakan file SCARF, memeriksa informasi tesebut untuk mengidentifikasi transaksi
yang meragukan, dan melaksanakan penyelidikan yang dibutuhkan.
Audit hooks adalah kegiatan audit yang memberikan tanda atas transaksi yang
mencurigakan. Contohnya, para auditor internal di state farm life insurance menyatakan
bahwa sistem pemegang asuransi mereka sangat rentan terhadap penipuan setiap kali
seseorang pemegang asuransi mengganti nama atau alamatnya, dan kemudian menarik
dana dari asuransi tersebut. Pegawai asuransi membuat sebuah sistem audit hooks untuk
mengikuti catatan yang memiliki perubahan nama atau alamat. Departemen audit internal
perusahaan tersebut kini akan diperingatkan apabila catatan yang diikuti tersebut
berhubungan dengan penarikan dan dapat menyelidiki apakah transaksi tersebut merupakan
penipuan. Ketika audit hooks digunakan, auditor dapat diinformasikan mengenai transaksi
yang mencurigakan begitu transaksi terjadi. Pendekatan ini, disebut sebagai peringatan
real-time (real-time notification) , yang menunjukkan sebuah pesan diterminal auditor.
Continuous and internitten simulation (CIS) melekatkan modul audit dalam sistem
manajemen database. Modul CIS memeriksan seluruh transaksi yang memperbaharui DBMS
dengan menggunakan kriteria yang hampir sama dengan SCARF. Apabila sebuah transaksi
memiliki nilai untuk diaudit, modul tersebut akan secara independen memproses data (dalam
cara yang hampir sama dengan simulasi paralel), mencatat hasil-hasilnya, dan
membandingkan hasilnya dengan yang didapat dari DBMS. Apabila terjadi penyimpangan,
rincian penyimpangan tersebut akan ditulis dalam daftar audit untuk penyelidikan
selanjutnya. Apabila ditemukan penyimpangan yang serius, CIS akan mencegah DBMS
melaksanakan proses pembaharuan data
Analisis Logika Program
Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi kode yang
tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin
diperlukan. Proses ini sangat memakan waktu dan membutuhkan keahlian dalam hal bahasa
pemrograman, sehingga langkah ini harus digunakan sebagai pilihan terakhir. Untuk
melaksanakan analisis tersebut, auditor merujuk pada bagan alir sistem dan program,
dokumentasi program, dan daftar kode sumber program. Software berikut dapat dipakai
untuk membantu analisis ini:
Audit Sistem Informasi Berbasis KomputerPage 14
Automated flowcharting program, yang menerjemahkan kode sumber program dan
membuat bagan alir program berdasarkan kode tersebut
Automated decision table program, yang membuat sebuah table keputusan yang
mewakili logika program
Scanning routine, yang memeriksa suatu program atas terjadinya nama variable tertentu
atau kombinasi karakter lainnya
Mapping program, yang mengidentifikasi kode program yang belum berfungsi. Software
ini mengungkapkan kode program yang dimasukan oleh programer yang tidak
bertanggung jawab untuk menghapus seluruh file komputer ketika dirinya diberhentikan,
seperti yang dicontohkan pada bagian sebelumnya
Program tracing, yang secara berurutan mencetak seluruh langkah program aplikasi
(berdasar nomor baris atau nama paragraf) yang dijalankan selama operasional
program. Daftar ini bercampur dengan output yang normal sehingga auditor dapat
mengamati urutan yang tepat atas sesuatu kegiatan yang tampak selama pengoperasian
program. Penelusuran program membantu auditor untuk mendeteksi perintah program
tidak sah, alur logika yang salah, dan kode program yang belum berfungsi.
Tujuan 5 : Data Sumber
Pada tujuan ini auditor harus memastikan bahwa fungsi pengendalian data bersifat
independen terhadap fungsi lainnya seperti: memelihara daftar pengendalian data,
menangani kesalahan dan memastikan efisiensi umum operasinya. Tetapi hal ini mungkin
tidak bisa dilaksanakan oleh perusahaan-perusahaan kecil. Jadi sebagai penyeimbang fungsi
pengendalian harus lebih kuat di departemen pemakai seperti dalam hal persiapan data,
pengendalian jumlah total batch, program edit, pembatasan akses secara fisik dan logika ke
sistem, dan prosedur penanganan kesalahan. Prosedur-prosedur inilah yang harus mendapat
perhatian bila tidak didapati adanya fungsi pengendalian data yang independen.
Apabila data sumber tidak memadai, pengendalian departemen pemakai dan
pemrosesan komputer dapat menjadi pengimbang. Apabila tidak, maka auditor harus sangat
merekomendasikan langkah-langkah untuk memperbaiki kelemahan data sumber.
Berikut kerangka untuk Audit Pengendalian Data Sumber :
Jenis-jenis kesalahan dan Penipuan :
Audit Sistem Informasi Berbasis KomputerPage 15
- Data sumber yang tidak akurat
- Data sumber yang tidak sah
Prosedur Pengendalian :
- Penanganan input data
- Otorisasi
- Rekonsiliasi batch
- Penerimaan,perpindahan dan pemrosesan data sumber
- Verifikasi digit dan kunci
- Penggunaan dokumen yang dapat dikirim kembali
- Rutinitas edit data komputer
- Pencatatan dan ringkasan perubahan file
- Prosedur untuk perbaikan data yang salah
Prosedur audit : Tinjauan Sistem
- Meninjau penanggung jawab fungsi pengendalian data
- Standar pengendalian data sumber
- Meninjau penandatanganan Otorisasi
- Meninjau sistem akutansi isi data sumber
- Mendokumentasikan pengendalian data sumber akutansi
- Mendiskusikan prosedur pengendalian sumber data dengan personil pengendalian
data dan pemakai
Prosedur audit : Uji Pengendalian
- Mengamati dan mengevaluasi jalannya departemen pengendalian data dan prosedur
Pengendalian data tertentu
- Memeriksa beberapa sample data sumber akutansi dalam hal otorisasi yang memadai
- Menelusuri pemrosesan sebuah sample kesalahan yang ditandai oleh rutinitas edit
data
Tujuan 6 : File Data
Meliputi,akurasi, integritas dan kemanan data yang disimpan dalam file yang dapat dibaca
Audit Sistem Informasi Berbasis KomputerPage 16
oleh mesin.
Berikut Kerangka untuk Audit Pengendalian File Data
Kesalahan dan Penipuan:
- Penghancuran data yang disimpan sengaja atau tidak
- Modifikasi atau pengungkapan yang tidak sah atas data yang disimpan
Prosedur Pengendalian
- Perpustakaan yang aman dan pembatasan atas akses ke file data
- Menggunakan password terhadap akses file data
- Penggunaan write protection
- Enkrip data untuk data yang sangat rahasia
- Penggunaan software anti virus
- Back up data
- Fasilitasi pemuliahan sistem
Prosedur Audit : Tinjauan sistem
- Meninjau dokumentasi atas fungsi-fungsi operasional perpustakaan file
- Meninjau kebijakan dan prosedur akses logika
- Memeriksa rencana pemuliahn dari bencana
- Mendiskusikan prosedur pengendalian file data dengan para manager dan operator
sistem
Prosedur Audit: Uji Pengendalian
- Mengamati dan mengevaluasi operasional perpustakaan file
- Meninjau catatan pemberian dan modifikasi password
- Mengamati dan mengevaluasi penyimpanan di luar lokasi kantor
- Verifikasi efektif terhadapa prosedur perlindungan dari virus,enkripsi data dan rencana
pemulihan data
Software Komputer
Beberapa program komputer yang disebut Computer Audit Software (CAS) atau Generalized
Audit Software (GAS) telah dibuat secara khusus untuk auditor.CAS idealnya sesuai untuk
pemeriksaan file dengan data yang besar.CAS adalah program komputer yang berdasarkan
Audit Sistem Informasi Berbasis KomputerPage 17
spesifikasi dari auditor,menghasilkan program yang melaksanakan fungsi-fungsi audit.
Program ini membuat catatan spesifikasi yang digunakan CAS untuk menghasilkan satu atau
lebih program audit. Program audit memproses file-file sumber dan melaksanakan
operasional audit yang dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan.
Beberapa fungsi umum software audit komputer :
– Pemformatan ulang
– Manipulasi file
– Perhitungan
– Pemilihan data
– Analisis data
– Pemrosesan file
– Statistik
– Pembuatan laporan
Audit Operasional Atas Suatu SIA
Perbedaan utama antara audit operasional dan audit sistem informasi dan keuangan adalah
bahwa lingkup audit sistem informasi dibatasi pada pengendalian internal, sementara lingkup
audit keuangan dibatasi pada ouput sistem. Sebaliknya, lingkup audit operasional lebih luas,
melintasi seluruh aspek manajemen sistem informasi.
Tujuan audit operasional mencakup faktor-faktor seperti: efektivitas, efisiensi, dan pencapaian
tujuan. Langkah pertama dalam audit operasional adalah perencanaan audit, yaitu masa
pembuatan lingkup dan tujuan audit, tinjauan awal atas sistem dilakukan, dan program audit
sementara dijalankan.
Pengumpulan bukti mencakup kegiatan-kegiatan berikut ini:
- Meninjau kebijakan dokumentasi operasional
- Melakukan konfirmasi atas prosedur dengan pihak manajemen serta personil opera-
sional
- Mengamati fungsi-fungsi dan kegiatan operasional
- Menguji akurasi informasi operasional
Audit Sistem Informasi Berbasis KomputerPage 18
- Menguji pengendalian
Menjadi auditor operasional yang baik adalah orang yang memiliki pelatihan dan pengalaman
audit serta beberapa tahun pengalaman di posisi manajerial.
Audit Sistem Informasi Berbasis KomputerPage 19