Download - Audit Si Praktisi
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Nata Endah-IIAlamanda P-114TLP : 5413695
Telkom MCCCisanggarung No.2
022-70712675081321773591
1
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
TEMUAN : Kondisi, Kriteria, Akibat, Sebab (Penyebab utama).
Proses dimana seseorang yang kompeten dan independen mengumpulkan dan menilai bukti-bukti mengenai informasi yang dapat dikuantifikasi berkaitan dengan suatu entitas ekonomi tertentu dengan tujuan untuk menentukan dan melaporkan mengenai tingkat kesesuaian antara informasi yang dapat dikuantifikasi tersebut dengan kriteria yang telah ditetapkan.
(Arens dan Loebbecke, “ Auditing PDE” Anies S.M. Basalamah).
2
AUDITING
Proses sistematis mengenai mendapatkan dan mengevaluasi secara objektif bukti yang berkaitan dengan penilaian mengenai berbagai kegiatan dan peristiwa ekonomi untuk memastikan tingkat keseuaian antara penilaian-penilaian tersebut dan membentuk kriteria serta menyampaikan hasilnya ke para pengguna yang berkepentingan .
( Hall Singleton “Information Technology Auditing & Assurance”)
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
CONTOH HASIL AUDIT
NO.KONDISI/TEMUAN
KRITERIAANALISA
(SEBAB-AKIBAT)REKOMENDASI
AUDITOR
1.
Total tunggakan
sampai dengan bulan Juli-2008
sebesar Rp. 623.850.000,-
Total tunggakan
maksimum Rp. 500.000.000,- (KD No. .....
2007)
Analisa dan data kelayakan nasabah tidak akurat. Tingginya bad debt.Tunggakan > 3 bln tidak diberitahu.Denda belum sepenuh-nya dijalankan.
Analisa dan data lebih akurat.Pelaksanaan
ketentuan denda perlu dijalankan secara konsisten
sesuai dengan KD..... / 2007
MATRIK TEMUAN HASIL KONFIRMASIOBJEK AUDIT : AUDIT PENGELOLAAN OPERASIONAL TUNGGAKAN
LOKASI : PELAYANAN BANDUNGPERIOCE : JANUARI – JUNI 2008
MATRIK TEMUAN HASIL KONFIRMASIOBJEK AUDIT : AUDIT PENGELOLAAN OPERASIONAL TUNGGAKAN
LOKASI : PELAYANAN BANDUNGPERIOCE : JANUARI – JUNI 2008
3
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
JENIS-JENIS AUDIT
FINANCIAL AUDIT : atestasi (pembuktian) independen yang dilakukan oleh seorang ahli yang menyatakan pendapatnya atas penyajian laporan keuangan.
Unqualified (Telah terjadi kerugian yang material). Qualified. (Tidak terjadi kerugian yang material). Disclaimer (Pendapat tidak memberikan pendapat). Adverse (Menolak/ lap. Keuangan tidak sesuai PSAK ).
MANAGEMENT AUDIT (OPERATIONAL AUDIT) : audit terhadap kegiatan oprasi suatu perusahaan, ternasuk kebijakan akuntansi dan kebijakan operasional yang ditentukan oleh manajemen, untuk mengetahui apakah kegiatan operasi tersebut sudah dilakukan secara efektif, efisien, dan ekonomis.COMPLAIN AUDIT : audit untuk mengetahui apakah perusahaan sudah mentaati peraturan dan kebijakan yang berlaku, baik yang ditetapkan oleh internal perusahaan maupun eksternal perusahaan.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
INTERNAL AUDIT : audit yang dilakukan oleh bagian internal audit perusahaan baik terhadap laporan keuangan perusahaan maupun laporan manajemen (operasional).
FRAUD AUDIT : merupakan area audit terbaru akibat dari penipuan yang menjadi-jadi oleh karyawan serta penipuan keuangan besar.
EKSTERNAL AUDIT : audit yang dilakukan oleh auditor independen yang bekerja di luar perusahaan yang diaudit. Auditor eksternal adalah auditor independen dan disertifikasi sebagai akuntan publik yang bersetifikasi
SEGITIGA KECURANGAN
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Information System Audit
ComputerScience
Traditional audit
BehavioralScience
InfoamtionSystem
Management
6
LATAR BELAKANG ADANYAAUDIT SISTEM INFORMASILATAR BELAKANG ADANYAAUDIT SISTEM INFORMASI
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Salah membuatkeputusan
Mahalnya HWSW dan BW
Mahalnya
komputer
error
Evolusi komputerperlu dikendalikan
Privacy
Biaya hilangnya data
Computer abuse
KEBUTUHAN TERHADAP KEBUTUHAN TERHADAP
PENGENDALIAN & PENGENDALIAN & AUDIT SISTEM INFORMASI AUDIT SISTEM INFORMASI
Kesalahan proses
( perhitungan)
7
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Information Systems Auditing is a process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently” (Ron Weber)
Audit Sistem Informasi adalah proses mengumpulkan dan mengevaluasi bukti untuk menentukan apakah sistem komputer dapat mengamankan asset, menjaga integritas data, mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien. (Computer Audit, EDP Audit, IT- Audit, IS-Audit )
8
DEFINISI
AUDIT SISTEM INFORMASI
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
IS Auditing
Organizations
ImprovedSafeguarding
of Assets
ImprovedData Integrity
ImprovedSystem
Effectiveness
ImprovedSystem
Efficiency
TUJUAN AUDIT SISTEM INFORMASI
(sumber : Ron Weber “Information Systems Control & Audit”)
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
10
No Audit phase Penjelasan
1. Subjek audit Menentukan apa yang akan diaudit
2. Tujuan audit Menentukan tujuan dari audit.
3. Ruang lingkup audit Menentukan sistem, fungsi dan bagian dari organisasi yang secara spesifik akan diaudit.
4. Perencanan awal audit Mengidentifikasi sumber daya yang dibutuhkanMenentukan dokumen apa yang diperlukan untuk audit
5. Prosedur audit & tahapan pengumpulan data
Menentukan cara melakukan audit untuk memeriksa dan menguji kontrolMenentukan siapa yang akan diwawancara
6. Evaluasi hasil pengujian dan pemeriksaan
Evaluasi hasil pengujian secara spesifik pada tiap organisasi
7. Prosedur komunikasi dengan pihak manajemen
Mengkomunikasi hasil audit secara spesifik pada tiap organisasi
8. Penyajian laporan audit Menentukan bagaimana cara mereview hasil auditEvaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari orgnisasi yang diaudit
METODOLOGI AUDIT SISTEM INFORMASI
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Laporan Audit
Laporan Audit
Kaji Kebijakan Praktik, dan
Struktut Perusahaan
Kaji Kebijakan Praktik, dan
Struktut Perusahaan
MULAI
Kaji Pengendalian Umum dan
Pengendalian Aplikasi
Kaji Pengendalian Umum dan
Pengendalian Aplikasi
Pelaksanaan Prosedur Uji
Pengendalian dan Uji Prosedur
Pelaksanaan Prosedur Uji
Pengendalian dan Uji Prosedur
Lakukan Uji PengendalianLakukan Uji Pengendalian
Tentukan Tingkat Keandalan
Pengendalian
Tentukan Tingkat Keandalan
Pengendalian
Evaluasi Hasil Pengujian
Evaluasi Hasil Pengujian
Evaluasi Hasil dan Keluarkan Laporan
Audit
Evaluasi Hasil dan Keluarkan Laporan
Audit
Lakukan Uji Substantif
Lakukan Uji Substantif
TAHAPAN AUDIT SISTEM INFORMASITAHAPAN AUDIT SISTEM INFORMASI
TahapPerencanaan
Audit
Tahap Pengujian
Pengendalian
Tahap PengujianSubstantif
Sumber : Information Technogi Auditing and Assurance : Hall singleton
11
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Tahap Pendahuluan : untuk memahami dan mendapatkan gambaran sistem manual dan komputerisasi yang diterapkan.
Tahap Detail : berfokus pada dua pengendalian yaitu pengendalian umum dan pengendalian aplikasi.
Pengujian ketaatan : pengujian ketaatan kepada peraturan dan kebijakan yang berlaku terhadap sistem dan teknologi informasi.
Pengujian Kendali Kompensasi : pengujian pengendalian diluar pengendalian umum dan aplikasi seperti prosedur atau proses manual.
Pengujian Substantif : untuk mendapatkan keyakinan secara mendalam atas keandalan pengendalian yang diterapkan untuk melindingi organisasi dari kemungkina kecurangan (mengambil sampel).
Membuat laporan : membuat laporan hasil audit.
Monitoring tindak lanjut
12
TAHAPAN AUDIT SISTEM INFORMASI (2)TAHAPAN AUDIT SISTEM INFORMASI (2)
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
KONSEP RISIKOKONSEP RISIKO
RISIKO : suatu keadaan yang tidak pasti yang dihadapi seseorang atau perusahaan yang dapat memberikan dampak yang merugikan.Menurut Jones dan Rama mengelompokkan risiko dalam 4 :
Execution Risk : risiko yang berkaitan dengan tidak tercapainya sesuatu yang seharusnya dilakukan.
Information risk : risiko yang berkaitan dengan kemungkinan kesalahan atau penyalahgunaan data/ informasi.
Asset protection risk : risiko kerusakan, hilang, atau aset tidak digunakan sebagaimana mestinya, maupun risiko yang dapat timbul terhadap aset akibat dari salah dalam mengambil keputusan.
Performance risk : risiko yang berkaitan dengan kinerja yang tidak dapat dilaksanakan sesuai dengan tujuan/ standar yang telah ditetapkan.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
RISIKO AUDIT : probabilitas bahwa auditor akan memberikan pendapat yang wajar (bersih) atas laporan keuangan yang pada kenyataannya salah saji secara material. Komponen Risiko Audit :
Risiko Inheren (risiko bawaan)
Risiko Pengendalian Risko Deteksi
RISIKO INHEREN : berhubungan dengan karakteristik unik dar bisnis atau industri klien. Potensi kesalahaan (penyalahagunaan) yang melekat pada suatu kegiatan, jika tidak ada pengendalian internal. RISIKO PENGENDALIAN : kemungkinan struktur pengendalian salah karena tidak adanya atau tidak memadainya pengendalian untuk mencegah atau mendeteksi dalam berbagai kesalahan.
RISIKO AUDIT
RISIKO DETEKSI : risiko yang bersedia diambil oleh auditor atas berbagai kesalahan yang tidak terdeteksi atau dicegah oleh struktur pengendalian yang juga tidak terdeteksi oleh auditor .
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
RUMUS (MODEL) RISIKO AUDIT
AR = Audit Rsik.
Inherent Risk Control Risk Detection
RiskMisalkan risiko audit dinilai dengan nilai 5% = keperayaan internal (confidence internal) 95% dalam statistik. Asumsikan IR dinilai pada tingkat 40% dan CR dinilai 60%. Berapa DR ?5% = 40% x 60% x DR maka DR = 4.8%
AR = IR x CR x DR
Hubungan Uji pengendalian dengan Uji substantif
Asumsikan bahwa audit tahun lalu melalui penilaian risiko IR 40% dan CR 60%, serta DR 4.8%. Asumsikan bahwa pengendalian tahun ini lebh ditingkatkan , segingga angka risiko pengendalian (CR) dapat diturunkan menjadi 40%, sehingga DR diperoleh hasil sbb :5% = 40% x 40% x DR maka DR = 3,2%
Makin handal pengendalian internal semakin rendah probabilitas DR.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
SISTEM PENGENDALIAN INTERNALPembentukan dan pemeliharaan sistem pengendalian internal adalah kewajiban pihak manajemen yang penting. Aspek fundamental dari tanggung jawab pelayanan pihak manajemen adalah untuk memberikan para pemegang saham jaminan yang wajar bahwa bisnis telah cukup terkendali. Selain itu pihak manajemen memiliki tanggung jawab untuk melengkapi pemegang saham dan calon investor lainnya dengan informasi keuangan yang dapat diandalkan secara tepat waktu. Sistem pengendalian internal yang memadai sangat dibutuhkan agar pihak manajemen dapat melaksanakan berbagai kewajiban ini.
Mengamankan aktiva perusahaanMemastikan akurasi dan keandalan berbagai catatan dan informasi akuntansiMenyebarluaskan efisiensi dalam operasi perusahaanMengukur keataatan dengan berbagai kebijakan dan prosedur yang ditetapkan oleh pihak manajemen.
( American Institute of Certified Public Accountans-AICPA)SISTEM PENGENDALIAN INTERNAL : terdiri atas kebijakan, praktek, dan prosedur yang digunakan oleh perusahaan untuk mencapai empat tuuan umum :
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
TINGKAT PENGENDALIAN INTERNALPENGENDALIAN PREVENTIF : teknik pasif yang didesain untuk mengurangi frekwensi terjadinya peristiwa yang tidak diinginkan.Mencegah kesalahan dan penipuan jauh lebih efektif dari segi biaya daripada mendeteksi dan memperbaiki masalah setelah masalah tersebut terjadi.PENGENDALIAN DETEKTIF : barbagai alat, teknik, dan prosedur yang didesain untuk mengidentifikasi dan mengekspos peristiwa yang tidak diinginkan yang lolos dari pengendalian preventif.Ketika pengendalian detektif mengidentifikasi adanya penyimpangan dari standar, maka akan terdengar peringatan untuk menarik perhatian ke masalah terkait.PENGENDALIAN KOREKTIF : tindakan perbaikan yang dilakukan terhadap masalah dari hasil deteksi. PENGENDALIAN PREDIKTIF : pengembangan berbagai teknik untuk benar-benar memprediksi peristiwa menyimpang tertentu.Proses ini mengarah pada sistem peringatan dni yang memperingati pihak-pihak terkait mengenai virus, worm, serangan penolakan layanan, dan aktivitas perusak lainnya.( Hall Singleton “Information Technology Auditing &
Assurance”)
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Pengendalian Umum (General Control) o Pengendalian organisasi (manajemen)o Pengendalian keamanan komputer.o Pengendalian pengembangan sistemo Pengendalian pemprograman dan operasio Pengendalian jaringan (network)o Pengendalian akses database.o Pengendalian dokumentasi sistem
Pengendalian Aplikasi (Application Control) Pengendalian Input
Pengendalian Proses Pengendalian Output
PENGENDALIAN SISTEM INFORMASI
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Intergritas dan Nilai EtikaKommitmen terhadap KompetensiFilosofi Manajemen dan Gaya KepemimpinanStruktur OrganisasiKomite AuditPenugasan Wewenang dan tanggung JawabKebijakan SDM dan Penerapannya
Resiko BisnisResiko OperationResiko KeuanganResiko Ketaaran
Memonitor kualitas dan kinerja sistem dan internal controlPengawasan yang langsung oleh atasan Evaluasi yang dilakukan oleh internal auditor
The Committee of Sponsoring Organizations of The Treadway Commission (COSO). (Sept-1992)
Pemisahan tugas yang memadaiOtoritas yang semestinya atas transaksi dan aktivitasDokumen dan catatan yang memadaiPengendalian fisik atau aktiva Pengendalian umum dan aplikasPengecekan independen atas kinerja
Mem
pero
leh
info
rmas
i int
erna
l dan
ekte
rnal
un
tuk
diol
ah &
disa
jikan
kep
ada
man
ajem
en
Men
yajik
an in
form
asi r
elev
an k
epad
a pi
hak
yan
g te
pat s
ecar
a te
pat i
si da
n te
pat w
aktu
.
AAA = American Accounting AssociationIIA = Institute of Internal AuditorsFEI = Financial Executives InternationalIMA = Institute of Management AccountantsAICPA = American Institute of Certified Public Accountants
PENGENDALIAN
INTERNAL
COSO
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
BUSINESS OBJECTIVES ANDGOVERNANCE OBJECTIVES
Efficiency
ApplicationsInformation
InfrastructurePeople
DELIVER AND
SUPPORT
MONITORAND
EVALUATE
ACQUIREAND
IMPLEMENT
INFORMATION
ITRESOURCES
C O B I TF R A M E W O R K
EffectivenessConfidentiality
Integrity
AvailabilityCompliance
DS1 Define and manage service levels.DS2 Manage third-party services.DS3 Manage performance and
capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and
incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical environment.DS13 Manage operations.
ME1 Monitor and evaluate IT performance.
ME2 Monitor and evaluate internal control.
ME3 Ensure compliance with external requirements.
ME4 Provide IT governance.
PO1 Define a strategic IT plan.PO2 Define the information
architecture.PO3 Determine technological
direction.PO4 Define the IT processes,
organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management
aims and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.
AI1 Identify automated solutions.AI2 Acquire and maintain
application software.AI3 Acquire and maintain
technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions
and changes.
PLANAND
ORGANISE
Reliability
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
COBIT (Control Objectives for Information and Related Technology) adalah sekumpulan dokumentasi best practices untuk IT governance (tata kelola) yang dapat membantu auditor, manajemen and pengguna ( user ) untuk menjembatani celah antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis. COBIT adalah framework dan tool pendukung yang memungkinkan manajer untuk menjembatani gap sehubungan dengan kebutuhan control, isu teknis dan resiko bisnis, dan menyampaikan level control tersebut pada stakeholder. Didefinisikan dalam pengertian yang paling luas, jadi
bukan hanya meliputi angka, teks ataupun tanggal saja, tetapi termasuk juga obyek-obyek lain yang ditampilkan sebagai grafik,suara / bunyi, maupun video.
seluruh prosedur-prosedur baik yang manual maupun yang terprogram.
individu yang terampil dan memiliki kemampuan merencanakan, mengorganisasikan, menghimpun, membagikan, mendukung, dan memonitor sistem serta pelayanan informasi.
INFORMATIO
N
APPLICATIO
N INFRASTRUCTUR
E
PEOPLE
Mencakup teknologi dan fasilitas yang digunakan untuk menampung dan mendukung sistem informasi.
IT Resources
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
DEFINISI PENGENDALIAN MENURUT COBIT ”Control adalah suatu kebijakan, prosedur, praktek dan struktur organisasi yang diciptakan untuk memberikan keyakinan yang memadai bahwa tujuan organisasi/ perusahaan akan dapat dicapai, dan hal-hal atau kejadian-kejadian yang tidak dikehendaki, dapat dicegah (prevent), dideteksi (detect), atau dikoreksi (correct).”
DEFINISI PENGENDALIAN MENURUT COBIT ”Control adalah suatu kebijakan, prosedur, praktek dan struktur organisasi yang diciptakan untuk memberikan keyakinan yang memadai bahwa tujuan organisasi/ perusahaan akan dapat dicapai, dan hal-hal atau kejadian-kejadian yang tidak dikehendaki, dapat dicegah (prevent), dideteksi (detect), atau dikoreksi (correct).”
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis
Menitikberatkan pada integritas data dalam sistem
Menitikberatkan pada ketersediaan data/ informasi dalam sistem informasi
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem
Effectivnes
s Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem
Menitikberatkan pada kemampuan/ ketangguhan sistem informasi dalam pengelolaan data/ informasi
Information Critera
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Mendeteksi bahwa ke-salahan, perubahan/ tindakan yang sudah terjadi serta melapor-kan ,mendiskusikan, kalkulasi ulang, Laporan kinerja sistem, Check point dalam rantai produksi.
Memperkecil dampak ancaman Mengidentifikasi sumber masalah dan memperbaikinyaMengubah sistem agar meminimalisir dampak.
Mendeteksi sebelum ter-jadi, memantau input dan operasi, melakukan pre-diksi masalah yg mungkin terjadi, mencegah kesrusa-kan dari tindakan kejahatan, pemisahan tugas dan tanggungjawab
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Contoh Preventif : Gunakan software yang sah Terapkan akses “read only” untuk seluruh software Cek software baru dengan antivrus sebelum di install Cek file baru dengan antivirussebelum digunakan. Sosialisasikan tentang bahaya virus. Contoh Detektif Jalankan software antivirus secara reguler Amati dan bandingkan ukuran file untuk menentukan
apakah ada perubahan. Amati dan bandingkan tanggal dan waktu untuk
menentukan apakah ada modifikasi software.
Contoh Korektif Yakinkan bahwa backup yang ada selalu “clean” Buat rencana/ dokumentasi untuk mengatasi serangan virus Jalankan antivirus untuk menghilangkan virus.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
PENGENDALIAN
INTERNAL
SAC
Systems Auditability and Control / Systems Assurance and Control dipublikasikan 1977 oleh the Institute of Internal Auditor.
Menurut SAC pengendalian internal teknologi informasi mencakup 3 (tiga) area :
Computer-based information systems control
Computer service center controls Systems development controls
Tujuan pengendalian internal pada sistem berbasis komputer dalam kajian SAC (IIA-1975) :
Mengkaji secara komperenhensip mengenai kondisi dan perkembangan teknologi informasi, kebutuhan kontrol dan auditnya.
Mendorong peningkatan kesadaran pimpinan tentang pengelolaan lingkungan teknologi informasi, dampaknya terhadap kontrol dan audit internal.
Meletakkan dasar-dasar kontrol internal teknologi informasi dalam perspektifnya (di dalam konteks sistem secara keseluruhan).
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
PENGENDALIAN ORGANISASI DAN MANAJEMEN
Pemisahan fungsi Departemen teknologi informasi dan non teknologi informasi.
Pemisahan fungsi dalam Departemen teknologi informasi
Otorisasi transaksi
Pengendalian personil
Perencanaan, penganggaran dan sistem pembebanan kepada pemakai (user).
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
PERAN AUDITOR DALAM PENGEMBANGAN SISTEM : BERPARTISISPASI DALAM PERANCANGAN DAN PENGEMBANGAN SISTEM. EVALUASI ULANG SISTEM YANG TELAH DITERAPKAN. EVALUASI SISTEM PENGENDALIAN YANG ADA.
MODEL EVALUASI PENGEMBANGAN SISTEM :1. PENDEKATAN SIKLUS HIDUP PENGEMBANGAN SISTEM.
FEASIBILITY STUDY (PROPOSAL DAN KRITERIA BIAYA)INFORMATION ANALYSIS (USER REQUIREMENT)SYSTEM DESIGN (INTERFACE, FILE ETC).PROGRAM DEVELOPMENT (DESIGNING, CODING, COMPLING, TESTING & DOC ).
PROCEDURE & FORM2. PENDEKATAN DISAIN SOSIAL TEKNIS PENGEMBANGAN SISTEM.
BERSAMA-SAMA ANTARA SOSIAL DAN TEKNIS DALAM KORDINASI PENGEMBANGAN SISTEM.
3. PENDEKATAN POLITIK PENGEMBANGAN SISTEM.PENDEKATAN TERHADAP DISTRIBUSI WEWENANG DALAM ORGANISASI.
4. PENDEKATAN SOFT SISTEM PENGEMBANGAN SISTEM.PENDEKATAN TERHADAP PERMASALAHAN YANG ADA.
5. PENDEKATAN PROTOTYPE PENGEMBANGAN SISTEM.PENDEKATAN TERHADAP SOLUSI KETIDAK PASTIAN DALAM DESIGN SISTEM.
6. PENDEKATAN KETIDAK PASTIAN PENGEMBANGAN SISTEM.ADAPTASI UNTUK SILUSI HUBUNGAN ORGANISASI PADA SISTEM YANG SEDANG DIRANCANG (SOCIAL SYSTEM IMPACT, TASK SYSTEM IMPACK, SYSTEM SIZE, COMMUNALITY, REQUIREMENT UNCERTAINTY, TECHNOLOGY UNCERTAINTY).
PENGENDALIAN TERHADAP SIKLUS PENGEMBANGAN SISTEM
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
1. DEFINISIKAN PELUANG ATAU MASALAH.PELUANG YANG ADA DAN PERMASALAH (LAKUKAN SWOT).
2. MANAJEMEN PERUBAHAN PROSES.MANAJEMEN PROYEK DAN PERUBAHAN FASILITAS.
3. MASUKAN DAN PENILAIAN KELAYAKAN.KELAYAKAN TEKNIS, OPERASI DAN EKONOMI.
4. ANALISA SISTEM YANG SEDANG BERJALAN.ORGANISASI, STRUKTUR, BUDAYA, DAN ALUR INFORMASI.
5. RUMUSKAN KEBUTUHAN STRATEGIS.RUMUSKAN TUJUAN YANG DIHARAPKAN..
6. ORGANISASI DAN RENCANA PEKERJAAN.STRUKTUR ORGSNISASI, STAFFING DAN JOB DESIGN.
7. DESAIN PROSES SISTEM INFORMASIDESAIN REQUIREMENT, DATABASE, PHYSICAL DAN HW/ SW PLATFORM.
8. AKUISISI DAN PENGEMBANGAN S/W APLIKASIPEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN SW APLIKASI.
1. AKUISISI HW & SW SISTEM.PEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN HW/SW SISTEM.
2. PROSDUR PENGEMBANGAN.DESAIN, TEST, IMPLEMENTASI DAN DOKUMENTASI PROSDUR.
3. PENERIMAAN PENGUJIAN.(PROGRAM TEST, SISTEM TEST, USER TEST DAN QUALITY ASSURANCE TEST)
4. KONVERSIKONVERSI DARI SISTEM LAMA KE SISTEM YANG BARU
5. OPERASI DAN PEMELIHARAAN REPAIR, ADAPTIVE AND PERFECTIVE MAINTENANCE
TAHAPAN EVALUASI PENGEMBANGAN SISTEM
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Business Processes
LOGICAL = (Database, Operating System, Application, Network)
Ord
er-t
o-C
as h
Hu
ma
n C
a pit
a l
Tre
as u
ry
Pa y
roll
Pro
cure
-to
-Pa y
Ma n
ufa
ctu
ring
ITGovernance
IT Services
SECURITY MANAGEMENT CONTROLSECURITY MANAGEMENT CONTROL
PHYSICAL (SDM, HW, Fasilitas, Dokumen, Supplies) terhadap kebakaran, polusi, banjir, gempa, pencurian.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Tahap-tahapnya : Merencanakan dan menetapkan tujuan, lingkup dan tugas-tugas/ Identifikasi aset (HR, HW,SW, Documentation, Data) Nilai aset (Pengelolaan aset, kehilangan aset dan waktu, umur aset) Perlakukan terhadap aset dan kompetitor. Administrasi, asuransi, spesifikasi sesuai periode waktu tertentu.
Identifikasi control, evaluasi kemungkinan gagal operasi dan ukur kehilangan hasil.
Pengelolaan laporan.
Tujuannya : Untuk menjamin agar aset sistem informasi tetap aman,
baik akses fisik maupun akses non fisik.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
CONTOH HASIL AUDIT
NO.KONDISI/TEMUAN
KRITERIAANALISA
(SEBAB-AKIBAT)REKOMENDASI
1.
Belum dijalankan Manajemen User-ID dan Password.
Fakta : Terdapat 3 user
dengan level yang sama
(super user)
(KD No. 11/.../ISC ..... 2007) tentang Manajemen User-ID dan
Pasword.
Keterbatasan SDM, tinginya pertumbu-han pelanggan.Dapat menimbulkan penyelahgunaan hak akses sampai level super user.
Identifikasi pengguna(User-ID)
dan ketentuan Manajemen user ID dan password perlu dijalankan secara konsisten sesuai dengan (KD No.
11/.../ISC ..... 2007)
MATRIK TEMUAN HASIL KONFIRMASIOBYEK AUDIT : AUDIT PENGELOLAAN SIM TUNGGAKAN
LOKASI : ISC BANDUNG PERIOCE : JANUARI – JUNI 2008
MATRIK TEMUAN HASIL KONFIRMASIOBYEK AUDIT : AUDIT PENGELOLAAN SIM TUNGGAKAN
LOKASI : ISC BANDUNG PERIOCE : JANUARI – JUNI 2008
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Fungsinya : Computer Operation (operation, scheduling & maintenance
control) Communication network Data Prepation and entry Production Control (I/O, Job scheduling, SLA) File library (penyimpanan, penggunaan, dan
pemeliharaan) Documentation and Program Library Help Desk / Technical Support Capacity Planning and Performance Monitoring Outsourced Operation (Finance, Vendor, Complaince &
Cntracy)
OPERATION MANAGEMENT CONTROLOPERATION MANAGEMENT CONTROL Memfasilitas hasil sistem aplikasi Mengembangkan SDM yang dapat mendesign,
implementasi dan memelihara sistem aplikasi
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
PASSWORD
PENGENDALIAN AKSES PERANGKAT KERASPENGENDALIAN AKSES PERANGKAT KERAS
ACCESS LOG
ENCRYPTION
BIOMETRICTECHNOLOGIES
AUTOMATICLOG-OFF
Pengendalian dengan menggunakan password( Account locking, Aging, Complexity verification).
Pengendalian yang mirip dengan password namun dikaitkan dengan identitas diri seperti sidik jari, telapak tangan, suara dll.
Pengendalian menggunakan log untuk mencatat semua kegiatan penggunaan sistem.
Pengendalian dengan menggunakan algoritma atau logika tertentu mengacak atau memanifulasi data.Pengendalian yang secara otomatis memutuskan hubungan dengan terminal yang tidak aktif.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
DATA RESOURCE MANAGEMENT CONTROLDATA RESOURCE MANAGEMENT CONTROL
Fungsinya : Mendefinisikan, membuat, meredefinisi data. Membuat database untuk kebutuhan user. Menginformasikan dan melayani user.
Memelihara integritas data. (Gannguan listrik, kerusakan disk. Kesalahan SW, akses yang tak berhak, atribut, relasi dan basis data )
Tujuannya : Sharebility {kemampuan untuk berbagi data kepada pengguna) Availability (ketersediaan data) : data tersedia kapan saja, dimana
saja, dan dalam bentuk apapun. Evolvability (kemampuan untuk dapat dikembangkan) : dapat
dikembangkan dengan mudah sesuai kenutuhan penguna.
Intergrity (keutuhan dan kosistensi data) : keaslian, keakuratan, kelengkapan, dan konsistensi data tetap terjaga.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Record CountRecord Count
Tidak ada 'satu-record-pun' dari 'satu SET penginputan data' yang terlewat ! 1/4 2/4
3/4 Total RECORD = 44/4
Batch TotalBatch Total$500
$200
$100
$50$150
1Batch Total 4 docs = $ 1.500$600
$300
$400
43
2
Pengendalian INPUT
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Sequence CheckSequence Check CISA-01
Missing CISA-02
CISA-03CISA-04CISA-05
Match with Previous DataMatch with Previous Data
Untuk meyakinkan bahwa DATA yang diinput berkorelasi dengan data sebelumnya !
BUDIONO (009)Saldo Awal
$ 500
BUDIONO (009)Cicilan$ 125
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Run to Run ControlRun to Run Control
Eksekusi yang diikuti dengan MEDIA-control otomatis !
ATM-Bank
Tell-strokeSaldo
$ 12500Penarikan
terakhir$ 1000
CHECK-DIGITCHECK-DIGIT
1000250000210002500013
10002500024
Rumus : Nilai sepuluh digit pertama / 11,
kemudian diambil sisanya !
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Reasonableness (REJECTION)Reasonableness (REJECTION)
Name :
Nationality :
IndonesianAustralianAmerican
Djmaludin Lubis
Indonesia
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Kartu dengan nomor : 7365(5x2)+(6x3)+(3x4)+(7x5)= 10+18+12+35 = 75
75 : 11 = 6, sisa 9 (modulus), 11 – 9 = 2Tambahkan pada angka 2 diposisi kanan nomor
kartu tersebut sebagai cek digitnya, sehingga kartu tersebut menggunakan nomor : 73652
Lakukan seperti langkah 1, sehingga menjadi (2x2)+(5x3)+(6x4)+(3x5)+(7x6)
= 4+15+24+15+42 =100, karena 100 habis dibagi 10
maka nomor tersebut valid (sah).
Calculation Check DigitCalculation Check Digit
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Kartu dengan nomor : 1804-7025-3041-9867Kalikan dengan 2 semua angka pada digit ganjil dan kurangi
hasilnya dengan 9 jika lebih dari 9, selanjutnya jumlahkan hasilnya.Digit-digit pada posisi ganjil
1 x 2 = 2, karena 2 < 9 maka hasilnya tetap 20 x 2 = 0, karena 0 < 9 maka hasilnya tetap 0
7 x 2 = 14, karena 14 < 9 maka hasilnya 14 – 9 = 52 x 2 = 4, karena 4 < 9 maka hasilnya tetap 43 x 2 = 6, karena 6 < 9 maka hasilnya tetap 64 x 2 = 8, karena 8 < 9 maka hasilnya tetap 8
9 x 2 = 18, karena 18 < 9 maka hasilnya 18 – 9 = 96 x 2 = 12, karena 12 < 9 maka hasilnya 12 – 9 = 3
Jumlah 2 + 0 + 5 + 4 + 6 + 8 + 9 + 3 = 37 Menjumlahkan semua digit pada posisi genap :
Jumlah = 8 + 4 + 0 + 5 + 0 + 1 + 8 + 7 = 33Bila hasil langkah 1 dan langkah 2 dijumlahkan didapat 37 + 33 = 70, karena 70
habis dibagi 10 maka nomor tersebut sah. 6175-4982-3534-2013
Algoritma Luhn Check DigitAlgoritma Luhn Check Digit7809-6394-5431-2415
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
o Diagnostic routine
(Pemeriksaan dan analisa rutin secara dini terhadap kondisi aplikasi)
o Limit, Reasonableness & Sign test
(Seperti pada pengendalian input).
o Posting, Crossfooting & Zero Balance Check
(Pengujian dengan membandingkan, menambah dan mengurangi setelah proses)
o Run to Run Control
(Memverifikasi nilai data dari hasil penjumlahan melalui tahapan pemrosesan)
o End of File Procedure
(Pengendalian sistem agar tidak berhenti sebelum berakhirnya pemrosesan)
o Lock-out
(Tidak meng-update secara bersamaan dalam kondisi on-line).
o Audit Trail
(Menulusuri pemrosesan transaksi)
Pengendalian PROSES
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI Pengendalian OUTPUT
o Storage Control
(Pengendalian dengan pembatasan storage, suhu, keamanan akses)
o Error Listing
(Daftar kesalahan agar dikendalikan sehingga tidak menggangu operasi)
o Console Log
(Pengendalian dilakukan untuk mengetahui siapa, apa, kapan dilakukan interupsi).
o Distribution
(Untuk menjamin bahwa keluaran tersebut diterima oleh yang terotorisasi).
o User Review
(Melalui user review dapat dilihat status dari hasil pendistribusian laporan tersebut).
o Destruction Control
(Pemusnahan output agar benar-benar diyakini bahwa output telah dimusnahkan sehingga tidak dimiliki atau dibaca oleh orang yang
tak berhak)
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
NETWORK NETWORK MANAGEMENT CONTROLMANAGEMENT CONTROL
Memulai dan menghentikan jaringan dan proses. Memonitor aktivitas jarngan Mengganti nama line komunikasi Men-generate statistic system Men-setting ulang panjangnya antrian Menambah frekwensi backup Menanyakan status system Mengirimkan system warning dan status massage Memeriksa lintasan data pada line komunikasi
Pengendalian jaringan bertujuan untuk menyediakan akses kepada software system yang khusus untuk mengelola dengan fungsi sbb :
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
AUDIT E-Commerce
Webtrust : program yang memberikan jaminan menyeluruh terhadap bisnis yang berbasis e-business/ e-commerce dengan membangun kepercayaan dan keandalan website tersebut. 7 assurance standard webtrust :
Online Privacy : keamanan dalam melakukan transaksiBusiness Practice and Transaction Integrity : proses transaksi harus lengkap dan akuratSecurity : tanggung jawab situs terhadap keamanan transaksiNon-reproduction : pengungkapan sistem terpelihara, bukti yang diperlukan dikemudian hari ada secara elektronisConfidentiality : sistem mengungkat kerahasiaan dalam transaksi, menghindari akses yang tak behak.Availability : situs menjamin sistem dan data telah sesuai dengan yang diungkapkan, tersedia HW dan SW yang teruji keandalannyaCustimized Disclosure : situs harus mengungkap hal-hal khusus yang ada padanya.
Webtrust : program yang memberikan jaminan menyeluruh terhadap bisnis yang berbasis e-business/ e-commerce dengan membangun kepercayaan dan keandalan website tersebut. 7 assurance standard webtrust :
Online Privacy : keamanan dalam melakukan transaksiBusiness Practice and Transaction Integrity : proses transaksi harus lengkap dan akuratSecurity : tanggung jawab situs terhadap keamanan transaksiNon-reproduction : pengungkapan sistem terpelihara, bukti yang diperlukan dikemudian hari ada secara elektronisConfidentiality : sistem mengungkat kerahasiaan dalam transaksi, menghindari akses yang tak behak.Availability : situs menjamin sistem dan data telah sesuai dengan yang diungkapkan, tersedia HW dan SW yang teruji keandalannyaCustimized Disclosure : situs harus mengungkap hal-hal khusus yang ada padanya.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Test ToolsTest Tools Test TechniquesTest Techniques
Media utuk membantu Media utuk membantu auditor dlm. melakukan auditor dlm. melakukan
teknik pengujianteknik pengujian
Cara proses pengujian Cara proses pengujian dilakukan untuk mencapai dilakukan untuk mencapai
tujuan audittujuan audit
Bentuknya bisa berupa :Bentuknya bisa berupa :
- Pedoman, Prosedur (SOP)Pedoman, Prosedur (SOP)
- Software (GAS) : ACL, IDEASoftware (GAS) : ACL, IDEA
Contoh : Contoh :
Stratifikasi, Analisa Stratifikasi, Analisa Statistik, Klasifikasi data, Statistik, Klasifikasi data, RekonsiliasiRekonsiliasi
ALAT DAN TEKNIK AUDITALAT DAN TEKNIK AUDIT
45
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Computer Assisted Audit Techniques (CAAT)
Computer Assisted Audit Techniques (CAAT)
Teknik Audit Berbantuan Komputer adalah alat yang cukup penting dan esensial untuk membantu tugas auditor sejenis tools seperti Generalized Audit Software (GAS). Beberapa pertimbangan penggunaan CAAT sebagai pendukung prosedur manual, adalah :
Pengetahuan, keahlian, keterampilan dan pengalaman auditor dibidang komputer
Tersedianya sarana dipihak auditee yang memang mendukung untuk menggunakan CAAT
Efisiensi dan efektivitas CAAT dibanding dengan prosedur manual
Kendala waktu (cukup atau tidak) Integritas lingkungan sistem dan teknologi informasi
setempat Tingkat risiko audit
Pengetahuan, keahlian, keterampilan dan pengalaman auditor dibidang komputer
Tersedianya sarana dipihak auditee yang memang mendukung untuk menggunakan CAAT
Efisiensi dan efektivitas CAAT dibanding dengan prosedur manual
Kendala waktu (cukup atau tidak) Integritas lingkungan sistem dan teknologi informasi
setempat Tingkat risiko audit
46
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Generalized Audit Software
Generalized Audit Software Program komputer yang dirancang khusus untuk pengolahan data-data
tertentu, terutama yang berkaitan dengan audit. Juga dapat digunakan untuk membantu tugas operasional lainnya.
o ACL ( Audit Command language ), IDEA (Interactive Data Extraction & Analysis)
Audit Common Language (ACL) adalah pengektrasi data dan penganalisa produk yang paling banyak digunakan dalam mekanisme audit, untuk
mendeteksi dan mencegah terjadinya kecurangan (fraud). Kemampuan GAS
• Akses data dari berbagai media, struktur dan format data (download, report file, dan Fasilitas ODBC = Open Database Connectivity)• Ad Hoc Report : Pelaporan ke manajemen yang sifatnya sewaktu-waktu atau yang tidak terakomodasi oleh aplikasi yang telah ada.• Organisasi data (sort, klasifikasi, dan ikhtisar data).• Pemilihan dan statistik data (data dan grafik).• Penggabungan dan Pembandingan data (matematis dan fungsi logika).
Kemampuan GAS• Akses data dari berbagai media, struktur dan format data (download, report file, dan Fasilitas ODBC = Open Database Connectivity)• Ad Hoc Report : Pelaporan ke manajemen yang sifatnya sewaktu-waktu atau yang tidak terakomodasi oleh aplikasi yang telah ada.• Organisasi data (sort, klasifikasi, dan ikhtisar data).• Pemilihan dan statistik data (data dan grafik).• Penggabungan dan Pembandingan data (matematis dan fungsi logika).
Keterbatasan GAS Hanya untuk ex-post auditing (hasil yang lalu), tidak concurrent auditing).
Terbatas untuk menguji logika pemrosesan. Kesulitan dalam menentukan kesalahan program.
Keterbatasan GAS Hanya untuk ex-post auditing (hasil yang lalu), tidak concurrent auditing).
Terbatas untuk menguji logika pemrosesan. Kesulitan dalam menentukan kesalahan program.
47
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
48
Specialized Audit Software
Specialized Audit Software
SAS merupakan satu atau lebih program khusus yang dirancang oleh auditor agar sesuai dengan situasi audit tertentu. Alasan digunakannya SAS:
o Tidak ada software laino Keterbatasan kemampuan software yg adao Efisiensio Meningkatkan pemahaman sistemo Mempermudah persiapano Meningkatkan idependensi auditor
SAS merupakan satu atau lebih program khusus yang dirancang oleh auditor agar sesuai dengan situasi audit tertentu. Alasan digunakannya SAS:
o Tidak ada software laino Keterbatasan kemampuan software yg adao Efisiensio Meningkatkan pemahaman sistemo Mempermudah persiapano Meningkatkan idependensi auditor
Karakteristik GAS :o Mudah digunakan bagi non programmer dan tidak bisa merubah datao Dapat digunakan untuk data dari berbagai platform
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
PENDEKATAN BATCH PROCESSING ENVIRONMENTPENDEKATAN BATCH PROCESSING ENVIRONMENT
MasterFile
MasterFile
Predeterminasiresult
Predeterminasiresult
Update Master file
Update Master file
Error reportError report
TestTransaction
TestTransaction
Transactionreport
Transactionreport
Compare
SISTEM DATA UJISISTEM DATA UJI
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
OUTPUTOUTPUT
SALINANPROGRAMSALINAN
PROGRAM OUTPUTOUTPUT
Compare
REALPROGRAM
REALPROGRAM
REALDATAREALDATA
REALDATAREALDATA
Dokumen yang diperiksa tidak lengkap (tidak memadai). Auditor ingin lebih independen. Perlu dilakukan pengujian atas fle transaksi.
PARALLEL SIMULATIONPARALLEL SIMULATION
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
TransactionFile
TransactionFile
Audit reportAudit report
Update program (SCARF embedded
audit routines)
Update program (SCARF embedded
audit routines)
Input Master file
Input Master file
SCARFSCARF
SCARFReporting
system
SCARFReporting
systemUpdate report
Update report Output
Master fileOutput
Master file
1. Auditor membuat beberapa kriteria
2. Audit modul ditempelkan di titik kritis aplikasi dan transakasi direkam sesuai kriteria.3. Hasil monitoring direkam pada file tertentu agar dapat direview oleh auditor.
1. Auditor membuat beberapa kriteria
2. Audit modul ditempelkan di titik kritis aplikasi dan transakasi direkam sesuai kriteria.3. Hasil monitoring direkam pada file tertentu agar dapat direview oleh auditor.
System Control Audit Riview File (SCARF)Menempelkan software audit pada aplikasi untuk memonitor transaksi secara terus menerus (Embedded Audit Routine)
PENDEKATAN ONLINE REAL-TIME ENVIRONMENTPENDEKATAN ONLINE REAL-TIME ENVIRONMENT
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISIIntegrated Test Fasilities (ITF)
Memasukkan beberapa data (records) dummy kedalam file transaksi rill (file produksi). Auditor dapat memperoses data dummy secara tersendiri maupun bersamaan. Selanjutnya auditor membandingkan hasil proses sistem dengan hasil proses yang dilaukan auditor menggunakan data dummy.Virtual Transaction Testing (VTT)
Pengujian sistem dilakukan dalam partisi yang berbeda dengan sistem yang diuji. Sebelum dilakukan pengujian, audit mengcopy semua sistem kedalam partisi yang berbeda. Selanjutnya auditor juga membuat database untuk keperluan pengujian.Dengan prosedur ini tidak ada kehawatiran bahwa hasil transaksi pengujian akan tercapur dengan transaksi rutin, sehingga auditor dengan bebas melaukan pengujian.
Pricess Tracing SoftwareMapping
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Pengumpulan & Penilaian Bukti Audit
Pengumpulan & Penilaian Bukti Audit
Prosedur penilaian alat buktiObservasi atas kegiatan operasional perusahaanPemeriksaan fisik atas kuantitas aktivaKonfirmasi atas ketelitian informasiMengajukan pertanyaan kepada auditeeMengkalkulasi atas perhitungan kembai informasi
kuantitatif atas catatan atau laporanPemeriksan bukti atau dokumenPemeriksaan analitis hubungan informasi
keuangan dan oprasional untuk ditindak lanjuti.
Kualitas bukti audit ditentukan oleh :Relevansi : terkait dengan tujuan auditMateriality : berkaitan dengan laporan keuanganCompetency : berkaitan dengan absahan alat buktiKecekupan alat bukti
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Metode Pengumpulan Data
Metode Pengumpulan Data
Metode pengumpulan data dalam proses audit dilakukan sbb :Survey Pendahuluan
Untuk mendapatkan informasi mengenai gambaran perusahaan dan permasalahan yang dihadapi perusahaan.Survey Lapangan
Interview : teknik pengumpulan data (informasi sistem yang ada) dengan cara melakukan tanya jawab langsung kepada pihak-pihak yang berkepentingan dengan perusahaan.
Observasi : merupakan pendekatan dengan melbatkan meninjau dan mengamati langsung objek yang akan diteliti (diaudit).
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Dokementasi : merupakan data arsip yang diperlukan untuk mendukung (sebagai salah satu alat bukti) dalam melakukan pemeriksaan dengan mempelajari atau menggunakan catatan yang ada dalam perusahaan.
Kuesioner : digunakan dengan menyusun beberapa pertanyaan yang lebih spesifik dan terinci dengan menggunakan pertanyaan terbuka maupun pertanyaan tertutup.
Test of control (pengujian pengendalian) : digunakan unuk menentukan apakah pengendalian internal yang ada telah memadai dan berfungsi secara efektif. Biasanya menggunakan alat bantu komputer seperti ACL (Audit Command Language).
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
Evaluasi Efektivitas dan Efisiensi Sistem
Evaluasi Efektivitas dan Efisiensi Sistem Tahap evaluasi efektivitas sistem:
Evaluasi tujuan/ manfaat sistem yang ingin dicapaiPilih pengukuran yang digunakanIdentifikasi sumber datanyaTentukan ex-ante valuee dalam pengukuran Tenukan ex-post values pengukuranMengukur dampak sistem berdasarkan perbandingan penilaian ex-ante dan ex-post tersebut.
Tahap evaluasi efektivitas sistem:Evaluasi tujuan/ manfaat sistem yang ingin dicapaiPilih pengukuran yang digunakanIdentifikasi sumber datanyaTentukan ex-ante valuee dalam pengukuran Tenukan ex-post values pengukuranMengukur dampak sistem berdasarkan perbandingan penilaian ex-ante dan ex-post tersebut.
Tahap evaluasi efisiensi sistem:Indikator ketepatan waktu, waktu yang dibutuhkan user dalam penyajian outputMengukur seberapa banyak yang dilakukan sistem dalam periode waktu tertentuMengukur tingkat kesibukan sistemMengukur ktersediaan/ kesiapan sistem dalam proses beban kerja sistem
Tahap evaluasi efisiensi sistem:Indikator ketepatan waktu, waktu yang dibutuhkan user dalam penyajian outputMengukur seberapa banyak yang dilakukan sistem dalam periode waktu tertentuMengukur tingkat kesibukan sistemMengukur ktersediaan/ kesiapan sistem dalam proses beban kerja sistem
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
57
Kerta Kerja AuditKerta Kerja AuditStatement on Auditing Standards (SAS) No. 41 menyatakan bahwa : Kertas Kerja Audit merupakan catatan tertulis yang dibuat auditor mengenai bukti-bukti yang dikmpulkan, bernagai metoda dan prosedur yang diterapkan serta simpulan-simpulan yang dibuat selama melakukan audit. Fungsi Kerta Kerja Audit
Membantu auditor untuk memperoleh kepastian bahwa seluruh prosedur audit telah dilakukan atau ditempuh, serta telah memenuhi syarat memadai (memuaskan) sesuai dengan standar audit yang berlaku.
Isi Kertas Kerja Audito Dasar Pelaksanaan Audito Ruang Lingkup Audito Tinjauan kondisi sistem, termasuk informasi yang berkaitan dengan
pemakaian perankat keras dan perangkat lunak.o Analisis sistem serta hasilnyao Informasi-informasi penting lainnya yang diperlukan sesuai dengan
kondisinya.
Fungsi Kerta Kerja AuditMembantu auditor untuk memperoleh kepastian bahwa seluruh prosedur audit telah dilakukan atau ditempuh, serta telah memenuhi syarat memadai (memuaskan) sesuai dengan standar audit yang berlaku.
Isi Kertas Kerja Audito Dasar Pelaksanaan Audito Ruang Lingkup Audito Tinjauan kondisi sistem, termasuk informasi yang berkaitan dengan
pemakaian perankat keras dan perangkat lunak.o Analisis sistem serta hasilnyao Informasi-informasi penting lainnya yang diperlukan sesuai dengan
kondisinya.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
58
Standar Pelaporan Audit Sisetem Informasi (1)Standar Pelaporan Audit Sisetem Informasi (1)
Bab-I : Simpulan Hasil Audit Sistem InformasiMerupakan ikhtisar simpulan hasil audit sistem informasi yang isinya memaparkan tingkat keandalan sistem yang bersangkutan dan rekomendasi secara ringkas. Bab ini dapat juga berfungsi sebagai laoran ringkas untuk eksekutif (executive summary).
Bab-II : Uraian Hasil Audit Sistem InformasiMerupakan uraian secara rinci mengenai hasil audit sistem informasi, yang isinya terdiri dari beberapa sub-bab, sebagai berikut :II.1 : Dasar Pelaksanaan AuditMemuat dasar atau landasan hukum untuk melakukan audit sistem informasi.
II.2 : UmumMeliputi organisasi pusat sistem informasi yang diaudit dan kebijakan manajemen yang berkaitan dengan sistem informasi.
Bab-I : Simpulan Hasil Audit Sistem InformasiMerupakan ikhtisar simpulan hasil audit sistem informasi yang isinya memaparkan tingkat keandalan sistem yang bersangkutan dan rekomendasi secara ringkas. Bab ini dapat juga berfungsi sebagai laoran ringkas untuk eksekutif (executive summary).
Bab-II : Uraian Hasil Audit Sistem InformasiMerupakan uraian secara rinci mengenai hasil audit sistem informasi, yang isinya terdiri dari beberapa sub-bab, sebagai berikut :II.1 : Dasar Pelaksanaan AuditMemuat dasar atau landasan hukum untuk melakukan audit sistem informasi.
II.2 : UmumMeliputi organisasi pusat sistem informasi yang diaudit dan kebijakan manajemen yang berkaitan dengan sistem informasi.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
59
Laporan Hasil AuditLaporan Hasil Audit
Isi laporan audit :o Tujuan audito Standar audit yang digunakano Lingkup audito Metodologi yang digunakano Tenuan audito Simpulan dan saran
Isi laporan audit :o Tujuan audito Standar audit yang digunakano Lingkup audito Metodologi yang digunakano Tenuan audito Simpulan dan saran
Hasil audit sistem informasi dapat digunakan sebagai salah satu pembuktian dalam audit keuangan (Financial Audit), sebagai bahan untuk penyusunan memorandum pengendalian intern, atau dapat pula dipakai untuk penyusuan laporan hasil audit sistem informasi yang akan diterbitkan dan didisribusikan kepada pihak tertentu.
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
60
Standar Pelaporan Audit Sisetem Informasi (2)Standar Pelaporan Audit Sisetem Informasi (2)II.3 : Ruang Lingkup Audit
Menguraikan tentang tujuan dan pembatasan audit, berikut ruang lingkup audit sistem informasi : area audit, periode audit.
II.4 : Tinnjauan Umum SistemBerisi informasi perangkat keras dan perangkat lunak, serta perangkat lnak lainnya yang digunakan oleh auditee, termasuk cara pemerosesan data dan sistem konukasi data yang dimiliki.
II.5 : Uraian Hasil Audit Sistem InformasiDapat diuraikan dalam beberapa butir, seperti :
a. Temuan (berisi uraian mengenai ) :oKondisi sistem yang ada (kelemahan dan keandalan).oPermasalahan yang ada.oMengapa permasalahan itu dianggap penting.oStandar penilaian yang berlakuoPenyebab yimbulnya masalahoDampak yang ditimbulkan
II.3 : Ruang Lingkup AuditMenguraikan tentang tujuan dan pembatasan audit, berikut ruang lingkup audit sistem informasi : area audit, periode audit.
II.4 : Tinnjauan Umum SistemBerisi informasi perangkat keras dan perangkat lunak, serta perangkat lnak lainnya yang digunakan oleh auditee, termasuk cara pemerosesan data dan sistem konukasi data yang dimiliki.
II.5 : Uraian Hasil Audit Sistem InformasiDapat diuraikan dalam beberapa butir, seperti :
a. Temuan (berisi uraian mengenai ) :oKondisi sistem yang ada (kelemahan dan keandalan).oPermasalahan yang ada.oMengapa permasalahan itu dianggap penting.oStandar penilaian yang berlakuoPenyebab yimbulnya masalahoDampak yang ditimbulkan
Audit Audit Sistem InformasiSistem InformasiRamlan, Ramlan, S.Kom.,MM.,QIAS.Kom.,MM.,QIA
PPOLITEKNIK OLITEKNIK PRAKTISIPRAKTISI
61
Standar Pelaporan Audit Sisetem Informasi (3)
Standar Pelaporan Audit Sisetem Informasi (3)
b. SaranMemuat saran atau rekmendasi dari auditor yang berisi langkah-langkah perbaikan yang perlu ditempuh manajemen atau auditee guna memperbaiki kelemahan sistem yang telah dioperasikan, serta solusi-solusi praktis yang diperlukan untuk memecahkan masalah yang ada.
c. Tanggapan ManajemenMemuat tanggapan serta kesanggupan manajemen atau auditee untuk melaksanakan rekomendasi auditor, ataupun sanggahan atau keberatan (kalau ada).
b. SaranMemuat saran atau rekmendasi dari auditor yang berisi langkah-langkah perbaikan yang perlu ditempuh manajemen atau auditee guna memperbaiki kelemahan sistem yang telah dioperasikan, serta solusi-solusi praktis yang diperlukan untuk memecahkan masalah yang ada.
c. Tanggapan ManajemenMemuat tanggapan serta kesanggupan manajemen atau auditee untuk melaksanakan rekomendasi auditor, ataupun sanggahan atau keberatan (kalau ada).