makalah pelaksanaan it audit
TRANSCRIPT
PELAKSANAAN IT AUDIT
Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian
Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan
pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan
sekaligus meyakinkan integritas program atau aplikasi yang diguna-kan untuk melakukan
pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan
bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat
pengendalian yang memadai atas output yang dihasilkan.
Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga
dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas
pengendalian-pengendalian aplikasi.
Dalam praktiknya, tahapan-tahapan dalam audit system informasi tidak berbeda jauh
dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu
dilaku-kan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya,
auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM
yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ). Tahapan
perencanaan ini akan menghasilkan suatu pro-gram audit yang didesain sedemikian rupa,
sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang
kompeten, serta dapat dise-lesaikan dalam waktu sesuai yang disepakati.
Dalam pelaksanaannya, auditor system informasi mengumpulkan bukti-bukti yang
memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi
(termasuk review source-code bila diperlukan). Satu hal yang unik, bukti-bukti audit yang
diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy).
Biasanya, auditor system informasi menerapkan teknik audit berbantuan komputer, disebut juga
dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa
data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas
nasabah, dan lain-lain.
Sesuai dengan standar auditing ISACA (Information Systems Audit and Control
Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang
mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini
juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan
batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan,
rekomendasi sebagaimana layaknya lapor-an audit pada umumnya.
A. STANDAR IT AUDITING
PENERAPAN STANDAR AUDITING PADA SISTEM PDE
(PENGOLAHAN DATA ELEKTRONIK)
1. Penerapan Standar Auditing
Standar auditing berlaku sama pada setiap audit yang dilakukan oleh akuntan
public, tanpa memandang besar kecilnya perusahaan klien, bentuk organisasi bisnis,
jenis industri, ataupun perusahaan bertujuan mencari laba atau tidak. Konsep
materialitas dan risiko berpengaruh terhadap penerapan seluruh standar, terutama
standar pekerjaan lapangan dan standar pelaporan. Materialitas terkait dengan relatif
pentingnya suatu hal atau suatu pos. Risiko berkaitan dengan kemungkinan suatu pos
atau suatu hal disajikan secara tidak benar.
Sebuah kerangka kerja logis untuk melakukan audit dalam lingkungan TI sangat
penting untuk membantu auditor mengidentifikasi semua proses serta arsip data yang
penting. Karena kurangnya prosedur fisik yang dapat secara visual diverifikasi dan
dievaluasi, menambah tingginya kerumitan dalam audit TI (contohnya, jejak audit yang
mungkin murni secara elektronik, berbentuk digital, sehingga tidak dapat dilihat oleh
mereka yang mencoba memverifikasinya).
Standar auditing merupakan pedoman audit atas laporan keuangan historis.
Standar auditing terdiri atas 10 standar dan dirinci dalam bentuk Pernyataan Standar
Auditing (PSA). Kepatuhan terhadap Pernyataan Standar Auditing yang dikeluarkan IAI
bersifat wajib (mandatory) bagi anggota Ikatan Akuntan Indonesia yang berpraktik
sebagai akuntan publik. Sepuluh standar auditing terbagi menjadi tiga kelompok, yaitu:
standar umum, standar pekerjaan lapangan, dan standar pelaporan.
Standar Audit yang Berterima Umum
Standar Umum Standar Kegiatan Lapangan Standar Pelaporan
1. Audit harus dilaksanakan
oleh seseorang atau lebih
yang memiliki keahlian
dan pelatihan teknis cukup
sebagai auditor.
2. Dalam semua hal yang
berhubungan dengan
penugasan, independensi
sikap mental harus
dipertahankan oleh
auditor.
3. Dalam pelaksaan audit dan
penyusunan laporannya,
auditor wajib
menggunakan kemahiran
profesionalnya dengan
cermat dan seksama.
1. Pekerjaan harus
dilaksanankan se baik-
baiknya dan jika digunakan
asisten harus disupervisi
dengan semestinya.
2. Pemahaman yang memadai
atas struktur pengendalian
intern harus diperoleh
untuk merencanakan audit
dan menentukan sifat, saat
dan lingkup pengujian
yang harus dilakukan.
3. Bukti audit yang kompeten
yang cukup harus
diperoleh melalui
inspeksi,pengamatan,
pengajuan pertanyaan dan
konfirmasi sebagai dasar
yang memadai untuk
menyatakan pendapat atas
laporan keuangan yang
diaudit.
1. Laporan audit harus
menyatakan apakah laporan
keuangan telah disusun
dengan prinsip akuntansi
yang berlaku umum.
2. Laporan audit harus
menunjukkan keadaan yang
ada didalamnya prinsip
akuntansi tidak secara
konsisten diterapkan dalam
penyusunan laporan
keuangan periode berjalan
dalam hubungannya dengan
prinsip akuntansi yang
diterapkan dalam periode
sebelumnya.
3. Pengungkapan informatif
dalam laporan keuangan
harus dipandang memadai,
kecuali dinyatakan lain
dalam laporan audit
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar
yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA
juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Sekarang keahlian
dalam mengaudit IT juga memerlukan sertifikasi sendiri, yaitu CISA (Certified
Information System Audit). Standar merupakan sesuatu yang harus dipenuhi oleh IS
Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar
dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah
yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan
standar. Bagaimanapun IS auditor harus bisa menggunakan judgement profesional
ketika menggunakan guidance dan procedure. Standar yang aplicable untuk audit IT
adalah terdiri dari 11 standar yaitu, Audit charter, Audit Independent, Profesional Ethic
and standard, Profesional competence, Planning, Performance of Audit Work,
Reporting, Follow-Up Activity, Irregularities and Irregular Act, IT Governance dan Use
of Risk Assestment in Audit Planning.
1. Audit Chapter (per 1 Januari 2005)
Perlunya dibuat Audit Charter atau Letter of Engagement dalam penugasan audit
sistem informasi. Hal yang diatur tentang perlunya audit charter bagi audit internal (atau
letter of engagement untuk auditor eksternal), mencakup Responsibility, Authority and
Accountability, yaitu meliputi tanggung jawab, otoritas dan accountability dari fungsi
audit sistem informasi pada suatu organisasi (perlu didokumentasikan dalam suatu surat
keputusan pimpinan atau perjanjian).
2. Independence (per 1 Januari 2005)
a. Professional independence
Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi harus
bersikap independen dalam tingkah laku dan tindakannya. Auditor atau Unit/Fungsi
Audit harus mempunyai posisi independen terhadap pihak-pihak yang berkaitan
dalam audit (untuk menjaga agar tidak terjadi conflict of interest).
b. Organitational Relationship
Fungsi audit sistem informasi harus berada independen dari area yang diaudit untuk
mencapai tujuan obyektivitas dari suatu proses audit.
3. Professional Ethics and Standards (per 1 Januari 2005)
Audit harus selalu mempedomani profesional ethics dan standards.
a. Code of Professional Ethics
Auditor dari sistem informsi harus menghormati dan menaati etika profesional dari
Information System Audit and Control Association
b. Due Professional Care
Standard auditing profesional harus diterapkan dalam segala aspek dalam pekerjaan
yang dilakukan oleh auditor sistem informasi.
4. Professional Competence (per 1 Januari 2005)
Auditor harus memiliki kompetensi yang dibutuhkan untuk melaksanakan tugasnya.
Auditor sistem informasi harus memaintain kompetensi teknikal melalui pendidikan
profesional berkelanjutan (Continuing Professional Education).
5. Audit Planning (per 1 Januari 2005)
Auditor sistem informasi harus merencanakan kegiatan audit, agar tujuan audit tercapai
sesuai standar profesional audit. Perencanaan audit (audit planning) diperlukan dalam
tiap pelaksaan suatu penugasan audit.
6. Performance of Audit Work (per 1 Januari 2005)
a. Supervision
Staf dari audit sistem informasi harus tepat untuk dapat menjamin tujuan dari audit
dijalankan dan standar profesional auditing dapat terpenuhi.
b. Evidence
Selama masa pekerjaan audit auditor sistem informasi harus mendapatkan bukti yang
tepat, dapat dipercaya, relevan, dan berguna untuk mencapai tujuan objectif dari
suatu audit.
7. Reporting (per 1 Januari 2005)
Report Content and Form, auditor sistem informasi harus menyediakan Report dalam
bentuk yang tepat pada saat penyelesaian tugas audit. Laporan Audit berupa lingkup,
tujuan, periode, audit, dan lingkungan dimana audit dijalankan. Laporan audit harus
mengindetifikasikan permasalahan yang terjadi dalam jangka waktu audit. Laporan audit
juga untuk memberikan rekomendasi dari layanan atau kualifikasi yang diberikan auditor
terhadap tugas audit yang dijalankan.
8. Follow Up Activities (per 1 Januari 2005)
Tindak-lanjut atas rekomendasi temuan audit, auditor sistem informasi harus meminta
dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu dan rekomendasi
yang dihasilkan pada periode audit terdahulu untuk mendefinisikan tindakan yang tepat
yang harus diimplementasikan dalam satu periode waktu.
9. Irregularities of Audit Work (per 1 September 2005)
Hal-hal yang berkaitan dengan ketidakwajaran dan penyimpangan (irregularities and
illegal acts).
10. IT Governance (per 1 September 2005)
Hal-hal yang berkaitan dengan tata kelola teknologi informasi pada suatu
organisasi/perusahaan, agar TI dikelola secara efektif, efisien, ekonomis, terjamin
integrity, security, availability, realibility, dan continuity
11. Use of Risks Assessment in Audit Planning (per 1 Nopember 2005)
Teknik-teknik penaksiran risiko dalam perencanaan audit.
12. Audit Materaility (per 1 Juli 2006)
Konsep materailitas dalam audit (khusus audit sistem informasi).
13. Using the Work of Other expert (per 1 Juli 2006)
Penggunaan hasil audit lain (expert lainnya) dalam pelaksanaan audit.
14. Audit Evidence (per 1 Juli 2006)
Hal-hal yang berkaitan dengan bukti audit. Selain kode etik dan standar, auditor wajib
mengikuti panduan (guideliness) dan pedoman prosedur audit (procedures) yang
dikeluarkan ISACA. Jadi selain kode etik, aturan ISACA terdiri dari beberapa level:
Information Systems Auditing Standards, Guidelines, dan Procedures.
Information Systems Auditing Guidelines
(ISACA, 2007) antara lain terdiri dari :
1. Pelaksanaan tugas audit bila menggunakan bahan bukti yang berasal dari pekerjaan
auditor atau ahli lainnya.
2. Bahan bukti audit.
3. Penggunaan alat bantu software audit (computer assisted audit techniques)
4. Pemeriksaan pada sistem informasi yang dioutsourcing ke organisasi lain.
5. Hal-hal yang berkaitan dengan audit charter/letter of engagement
6. Konsep materialist
7. Pelaksanaan tugas dengan penuh kehati-hatian (seksama).
8. Dokumentasi dalam audit.
9. Pertimbangan-pertimbangan yang berkaitan dengan irregulatities.
10. Audit sampling
11. Dampak pervasive IS controls(kontrol internal yang tersebar).
12. Keterkaitan dan Independensi.
13. Penaksiran risiko dalam perencanaan (program) audit.
14. Review sistem aplikasi.
15. Planning dalam Audit.
16. Dampak organization’s IT controls oleh pihak ketiga.
17. Independensi dan peranan auditor dalam bidang non-audit.
18. Tatakelola TI (IT Governance).
19. Irregularities dan illegal acts
20. Reporting.
21. Enterprise resources planning (ERP).
22. Review terhadap B2C e-Commerce
23. Review Pengembangan Sistem Aplikasi.
24. Internet Banking.
25. Review terhadap Virtual Private Network
26. Review terhadap Business Process Reengineering (BPR).
27. Mobile Computing
28. Computer Forensic.
29. Post Implementation Review.
30. Kompetensi.
31. Privacy.
32. Review Business Continuity Plan dari Perspektif TI.
33. General Considerations on Using Internet.
34. Responsibility, authority, and accountability
35. Follow-up Activities.
36. Biometric Controls
Sedangkan Informations Systems Auditing Procedures berisi prosedur untuk :
1. IS Risks Assessment.
2. Digital Signatures
3. Intrusion Detection.
4. Viruses and Other Malicious Code.
5. Control Risks Self-assessment.
6. Firewalls.
7. Irregularities and Illegal Acts.
8. Security Assessment – Penetration Testing and Vulnerability Analysis.
9. Evaluation of Management Controls Over Encryption Methodologies
10. Business Application Change Control.
11. Electronics Fund Transfer (EFT)
IS Auditing Guideline terdiri dari 36 guidance dalam mengaudit TI yang
mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 11
prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan
audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment,
mengetes intruction detection system, menganalisis firewall dan sebagainya. Jika
dibandingkan dengan audit keuangan, maka standar dari ISACA ini adalah setara dengan
Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit
dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian
berdasarkan standar tersendiri yaitu COBIT.
COBIT (Control Objective for Information Related Tecnology) adalah kerangka
tata kelola IT (IT Governance) yang ditujukan kepada manajemen, staf pelayanan IT,
control departemen, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis
(business process owner’s), untuk memasITan confidenciality, integrity and availability
data serta informasi sensitif dan kritikal. COBIT didesign terdiri dari 34 high level control
objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu Plan and
Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate.
The COBIT Framework juga memasukkan hal-hal sebagai berikut,
- Maturity Models – Untuk memetakan status maturity proses-proses IT (dalam skala 0
– 5) dibandingkan dengan “the best in the class in the Industry” dan juga International
best practices.
- Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat
melakukan kontrol atas proses IT.
- Key Goal Indicators (KGIs) – Kinerja proses-proses IT sehubungan dengan
kebutuhan bisnis dan
- Key Performance Indicators (KPIs) – Kinerja proses-proses IT sehubungan dengan
process goals
COBIT dikembangkan sebagai suatu generally applicable and accepted standard
for good Information Technology (IT) security and control practices . Istilah ” generally
applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti
Generally Accepted Accounting Principles (GAAP). Suatu perencanaan audit IT dapat
dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui
analisa atas ke-36 proses tersebut. Sementara untuk kebutuhan penugasan tertentu,
misalnya audit atas proyek IT, dapat dimulai dengan memilih proses yang relevan dari
proses-proses tersebut.
PENGHIMPUNAN PEMAHAMAN SPI
Pernyataan Standar Audit No.78
Pengendalian internal, seperti didefinisikan dalam SAS 78, terdiri atas lima komponen,
yaitu:
Lingkungan Pengendalian
Lingkungan pengendalian menetapkan arah perusahaan dan pengaruh kesadaran pihak
manajemen dan para karyawannya akan pengendalian.
Penilaian Risiko
Para auditor harus mendapatkan pengetahuan yang cukup atas prosedur penilaian risiko
perusahaan untuk memahami bagaimana cara pihak manajemen mengidentifikasi,
membuat prioritas, serta mengelola berbagai risiko yang berkaitan dengan pelaporan
keuangan.
Informasi dan Komunikasi
Auditor harus mendapatkan cukup pengetahuan mengenai sistem informasi perusahaan
untuk memahami berbagai aspek berikut ini:
o Penggolongan transaksi yang material bagi laporan keuangan dan bagaimana
transaksi-transaksi tersebut dilakukan.
o Berbagai catatan akuntansi beserta akunnya yang digunakan dalam pemrosesan
transaksi yang material.
o Langkah-langkah pemrosesan transaksi yang dilibatkan dari awal suatu peristiwa
ekonomi hingga perhitungan masuknya ke dalam laporan keuangan.
o Proses pelaporan keuangan yang digunakan untuk membuat laporan keuangan,
pengungkapan, dan berbagai prediksi akuntansi.
Pengawasan
Pemonitoran aktivitas entitas terkait dalam berbagai prosedur yang terpisah dapat
dilakukan dengan mengumpulkan bukti atas kecukupan pengendalian dengan menguji
berbagai pengendalian, kemudian mengkomunikasikan kekuatan serta kelemahan
pengendalian ke pihak manajemen. Dalam lingkungan TI, proses ini melibatkan
pengumpulan bukti yang berkaitan dengan keandalan pengendalian komputer serta isi
basis data yang telah diproses oleh program-program computer.
Aktivitas Pengendalian
Aktivitas pengendalian (control activity) adalah berbagai kebijakan dan prosedur yang
digunakan untuk memastikan bahwa tindakan yang tepat telah dilakukan untuk
menangani berbagai risiko yang telah diidentifikasi perusahaan. Aktivitas pengendalian
dapat dikelompokkan ke dalam dua kategori: pengendalian computer dan pengendalian
fisik. Pengendalian komputer secara khusus berkaitan dengan lingkungan TI dan audit TI,
digolongkan dalam dua kelompok umum: pengendalian umum (general control) dan
pengendalian aplikasi (application control).
Pengendalian umum berkaitan dengan perhatian tingkat keseluruhan perusahaan, seperti
pengendalian terhadap pusat data, basis data perusahaan, akses sistem, pengembangan
sistem, dan pemeliharaan program. Pengendalian aplikasi memastikan integritas sistem
tertentu seperti pemrosesan pesanan penjualan, utang usaha, dan aplikasi penggajian.
Pengendalian fisik terutama berhubungan dengan sistem akuntansi tradisonal yang
menggunakan prosedur manual. Diskusi ini membahas berbagai isu yang berkaitan
dengan enam kategori tradisional aktivitas pengendalian:
1. Otorisasi Transaksi
Dalam suatu lingkungan TI, otorisasi dapat terdiri atas aturan berkode yang
melekat dalam program komputer. Contohnya, modul program dalam sistem
pembelian yang akan menentukan kapan, seberapa banyak, dan dari mana
pemasok untuk persediaan akan dipesan. Otorisasi dapat bersifat umum dan
khusus. Otorisasi umum diberikan pada personel operasional untuk melakukan
operasi rutin. Sebaliknya otorisasi khusus berkaitan dengan keputusan kasus per
kasus yang berhubungan dengan transaksi non-rutin, biasanya merupakan
tanggung jawab pihak manajemen. Dalam suatu lingkungan TI, tanggung jawab
untuk mewujudkan tujuan pengendalian otorisasi transaksi terletak langsung pada
akurasi dan konsistensi (integritas) program komputer yang melakukan berbagai
pekerjaan ini.
2. Pemisahan Tugas
Pemisahan tugas karyawan untuk meminimalkan fungsi-fungsi yang tidak sesuai.
Dalam lingkungan TI, pemisahan tugas tidak sama dengan yang terdapat dalam
lingkungan manual. Program komputer biasanya melakukan berbagai pekerjaan
yang dianggap tidak kompatibel dalam sistem manual. Alasan mengapa beberapa
tugas yang dipisahkan dalam sistem manual tidak perlu dipisahkan dalam
lingkungan TI, yaitu: pemisahan itu tidak akan efisien, berlawanan dengan tujuan
otomatisasi, dan secara operasional tidak berguna untuk memisahkan pekerjaan
yang tidak kompatibel ke beberapa program yang berbeda hanya untuk meniru
prosedur manual yang tradisional.
Alasan pemisahan tugas dalam lingkungan yang manual adalah untuk
mengendalikan beberapa aspek negatif perilaku manusia. Komputer tidak
melakukan kesalahan dan tidak melakukan penipuan. Kebanyakan dari hal yang
disebut sebagai kesalahan komputer sebenarnya adalah kesalahan pemrograman,
yang pada kenyataannya merupakan kesalahan manusia. Karena komputer
memiliki integritas yang tidak dapat diragukan, tidak ada komputer yang pernah
melakukan penipuan kecuali jika diprogram demikian oleh seseorang. Perhatian
auditor TI harus diarahkan pada berbagai aktivitas yang mengancam integritas
aplikasi, seperti ketika program telah berfungsi baik dalam implementasi sistem,
integritasnya harus dipertahankan sepanjang siklus hidup program tersebut.
3. Supervisi
Supervisi sering kali disebut sebagai pengendalian penyeimbangan
(compensating control). Supervisi tersebut dapat berbentuk supervisi fisik,
laporan, atau cara lainnya. Asumsi yang mendasari pengendalian supervisi adalah
perusahaan mempekerjakan karyawan yang kompeten dan dapat dipercaya.
Perusahaan karenanya dapat membentuk perluasan pengendalian manajerial
dimana seorang manajer mengawasi beberapa karyawan.
Dalam lingkungan TI, pengendalian supervisi harus lebih luas dari pada dalam
sistem manual untuk tiga alasan:
Berhubungan dengan masalah menarik karyawan yang kompeten.
Mencerminkan kekhawatiran pihak manajemen atas tingkat dapat
dipercayanya personel pemrosesan dalam area yang berisiko tinggi.
Ketidakmampuan pihak manajemen untuk secara memadai mengamati para
karyawan dalam suatu lingkungan.
4. Catatan Akuntansi
Kewajiban untuk mempertahankan jejak audit juga ada dalam lingkungan TI.
Akan tetapi, catatan akuntansi otomatis dan jejak auditnya sangat berbeda dari
yang berada dalam lingkungan manual. Beberapa sistem komputer tidak
menyimpan dokumen sumber fisik. Jurnal dan buku besar sering kali tidak ada
dalam artian tradisional. Sebagai gantinya, berbagai record transaksi dan
peristiwa ekonomi lainnya terfragmentasi melintasi beberapa tabel basis data yang
dinormalisasi. Jejak audit dapat berbentuk pointer, teknik hashing, indeks, atau
kunci melekat yang menghubungkan berbagai fragmen record antara dan antar
tabel basis data.
Para auditor harus memahami berbagai prinsip operasional sistem manajemen
basis data yang digunakan dan pengaruhnya atas berbagai catatan akuntansi serta
jejak audit struktur file lainnya. Dalam lingkungan TI, sebagian atau semua jejak
audit berbentuk digital karena jejak audit terletak dalam komputer di berbagai file,
maka jejak audit pada dasarnya tidak dapat dilihat oleh para auditor. Oleh
karenanya, sudah merupakan keharusan dalam lingkungan TI agar para
programmer dan analis memahami peran penting daftar (log), dan bagaimana cara
menangkap data dalam jumlah mencukup untuk tujuan jejak audit.
5. Pengendalian Akses
Tujuan dari pengendalian akses (access control) adalah untuk memastikan hanya
personel yang sah saja memiliki akses ke aktiva perusahaan. Akses ke aktiva
dapat bersifat langsung atau tidak langsung. Peralatan keamanan fisik, seperti
kunci, lemari besi, pagar, dan sistem alarm elektronik serta infra merah, dapat
mengendalikan akses langsung. Akses tidak langsung ke aktiva dapat dicapai
dengan mendapatkan akses ke berbagai catatan dan dokumen yang
mengendalikan penggunanya, kepemilikannya, dan disposisinya. Pengendalian
akses yang dibutuhkan untuk melindungi berbagai catatan akuntansi akan
tergantung pada karakteristik teknologi sistem akuntansinya. Dalam lingkungan
IT, catatan akuntansi sering kali terkonsentrasi dalam pusat pemrosesan data pada
perangkat penyimpanan data yang besar. Konsolidasi data mengekspos
perusahaan ke dua bentuk ancaman: (1) penipuan komputer, dan (2) kerugian
akibat bencana. Masalah lain yang hanya ada dalam lingkungan TI adalah
mengendalikan akses ke program komputer. Kekhawatiran atas integritas aplikasi
tetap ada ketika setelah implementasi dalam periode operasional siklus hidup
sistem, yang disebut juga sebagai tahap pemeliharaan. Selama periode ini, yang
mungkin memakan waktu bertahun-tahun, aplikasi biasa dapat dimodifikasi
lusinan kali. Berbagai modifikasi ini menimbulkan peluang adanya kesalahan
yang masuk tanpa sengaja dalam aplikasi dan peluang bagi pelaku kejahatan
komputer untuk melakukan penipuan dengan membuat perubahan program yang
ilegal.
6. Verifikasi Independen
Prosedur verifikasi (verification procedure) adalah pemeriksaan independen
terhadap sistem akuntansi untuk mendeteksi kesalahan dan kesalahan penyajian.
Verifikasi dilakukan setelah kejadian, oleh seseorang yang bukan secara langsung
terlibat dalam transaksi terkait atau pekerjaan laing yang diverifikasi. Melalui
prosedur verifikasi independen, manajemen dapat menilai (1) kinerja perorangan,
(2) integritas sistem pemrosesan transaksi, dan (3) kebenaran data yang berada
dalam catatan akuntansi. Dalam lingkungan TI, program komputer melakukan
banyak pekerjaan rutin. Sering kali, kebanyakan dari hal yang harus diperhatikan
terletak pada integritas aplikasi. Para auditor TI melakukan fungsi verifikasi
independen dengan mengevaluasi pengendalian atas pengembangan sistem dan
aktivitas pemeliharaan serta kadang-kadang dengan mengkaji logika internal
program.
2. Mendapatkan Pemahaman Tentang SPI
Apabila PDE digunakan dalam aplikasi akuntansi secara signifikan, auditor harus
mendapatkan pemahaman tentang struktur pengendalian PDE yang memadai untuk
merencanakan audit. Sifat dan luas prosedur yang harus dilakukan untuk mendapatkan
pemahaman pengendalian PDE bervariasi sesuai dengan besar dan kompleksitas sistem
PDE, dan sesuai pula dengan strategi audit awal yang digunakan untuk asersi-asersi
spesifik yang dipengaruhi oleh aplikasi PDE.
Dalam aplikasi-aplikasi yang menggunakan komputer mikro, auditor bisa
memperoleh pemahaman dengan cara mengajukan pertanyaan kepada personil-personil
klien,observasi atas pengoperasian komputer, dan inspeksi atas output yang dihasilkan
komputer. Dalam aplikasi untuk mainframe, auditor biasanya perlu juga melakukan
review atas dokumentasi, termasuk bagan alir dan manual. Dalam sistem PDE yang lebih
maju, auditor mungkin memerlukan bantuan dari ahli PDE. Inspeksi atas laporan
penyimpangan (exception reports) bisa membantu auditor dalam menentukan apakah
pengendalian telah berjalan sebagaimana mestinya.
Auditor harus mendapatkan pengetahuan yang memadai mengenai sistem PDE untuk
memahami:
Kelompok-kelompok transaksi dalam operasi perusahaan klien yang diproses dengan
sistem PDE yang signifikan pada laporan keuangan.
Catatan-catatan akuntansi, dokumen-dokumen pendukung, informasi yang bisa dibaca
oleh mesin, dan rekening-rekening tertentu dalam laporan keuangan yang terlibat dalam
proses PDE, serta pelaporan kelompok-kelompok transaksi yang signifikan tersebut.
Bagaimana komputer digunakan untuk mengolah data, mulai dari terjadinya transaksi
sampai akhirnya masuk ke dalam laporan keuangan.
Jenis-jenis salah saji potensial yang dapat terjadi.
Pemahaman auditor tentang struktur pengendalian PDE harus didokumentasikan
dalam kertas kerja. Luasnya pendokumentasian tergantung pada besar serta kompleksitas
struktur pengendalian. Dokumentasi dapat dibuat dalam bentuk daftar pertanyaan.
B. SIKLUS IT AUDIT
Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi,
sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan
tidak memihak, yang disebut auditor.
Dalam kegiatan auditing paling tidak mempunyai karakteristik sebagai berikut:
Objektif : Independen yaitu tidak tergantung pada jenis atau aktivitas
organisasi yang diaudit
Sistematis : terdiri dari tahap demi tahap proses pemeriksaan
Ada bukti yang memadai : mengumpulkan, mereview, dan mendokumentasikan
kejadian-kejadian
Adanya criteria : untuk menghubungkan pemeriksaan dan evaluasi bukti–bukti
Di dalam dunia teknologi informasi dibutuhkan juga audit, fungsinya adalah untuk
mengevaluasi sistem informasi yang ada di suatu organisasi atau perusahaan. Banyak
metode audit dalam teknologi informasi. Ini memungkinkan adanya perbedaan.
Beberapa metode tersebut berbeda karena antara lain disebabkan:
Otomatisasi, yaitu seluruh proses di dalam pemrosesan data elektronik mulai dari
input hingga output cenderung secara otomatis, bentuk penggunaan dan jumlah kertas
cenderung minimal, bahkan seringkali tidak ada (paperless office) sehingga untuk
penelusuran dokumen (tracing) audit berkurang dibandingkan sistem manual yang
banyak menggunakan dokumen dan kertas.
Keterkaitan aktivitas yang berhubungan dengan catatan-catatan yang kurang terjaga.
Dengan sistem on line mengakibatkan output seringkali tidak tercetak.
“Audit Arround Computer” yang mengabaikan sistem komputer tetapi yang dilihat
atau yang diuji adalah Input dan Output.
”Audit Through Computer ” menggunakan bantuan komputer (atau software) untuk
mengaudit. Jika pelaksanaan audit di sistem informasi berbasis komputer dilakukan
secara konvensional terhadap lingkungan Pemrosesan Data Elektronik seperti dalam
sistem manual, maka cenderung tidak menghasilkan hasil yang memuaskan, baik oleh
klien maupun auditor sendiri, bahkan cenderung tidak efisien dan tidak terarah.
Untuk itu seringkali dalam proses pengembangan sebuah sisem informasi akuntansi
berbasis komputer melibatkan akuntan. Jika akuntan terlibat dalam desain sistem
Pemrosesan Data Elektronik sebuah organisasi maka akan memudahkan pengendalian
dan penelusuran audit ketika klien tersebut meminta untuk pekerjaan audit. Ada 2
keuntungan jika seorang akuntan terlibat dalam disain sistem informasi dalam
lingkungan pemrosesan data elektronik, yaitu pertama, meminimalisasi biaya
modifikasi sistem setelah implementasi dan kedua, mengurangi pengujian selama
proses audit.
Tahapan Proses Audit
Menurut Institute of Internal Auditors tahapan audit Sistem Informasi terbagi menjadi 4
fase proses yang spesifik yaitu:
1. Perencanaan Audit (Audit Planning).
Tujuan perencanaan audit adalah untuk menentukan why, how, when dan by whom
sebuah audit akan dilaksanakan. Aktivitas perencanaan audit meliputi:
Penetapan ruang lingkup dan tujuan audit
Pengorganisasian tim audit
Pemahaman mengenai operasi bisnis klien
Kaji ulang hasil audit sebelumnya (jika ada)
Mengidentifikasikan faktor-faktor yang mempengaruhi resiko audit
Penetapan resiko dalam lingkungan audit, misalkan bahwa inherent risk,
control risk dan detection risk dalam sebuah on-line processing, networks, dan
teknologi maju database lainnya akan lebih besar daripada sebuah sistem
akuntansi manual.
2. Penyiapan program audit (Prepare audit program).
Yaitu antara lain adalah mengumpulkan bukti audit (Collection of Audit Evidence)
yang meliputi:
Mengobservasi aktivitas operasional di lingkungan PDE
Mengkaji ulang sistem dokumentasi PDE
Mendiskusikan dan mengajukan pertanyaan-pertanyaan dengan petugas
berwenang.
Pengujian keberadaan dan kondisi fisik aktiva.
Konfirmasi melalui pihak ketiga
Menilai kembali dan re-performance prosedur sistem PDE.
Vouching ke dokumen sumber
Analytical review dan metode sampling
3. Evaluasi bukti (Evaluation of Audit Evidence).
Auditor menggunakan bukti untuk memperoleh keyakinan yang memadai (reasonable
assurance), jika inherent risk dan control risk sangat tinggi, maka harus mendapatkan
reasonable assurance yang lebih besar. Aktivitas evaluasi bukti yang diperoleh
meliputi:
1. Menilai (assess) kualitas pengendalian internal PDE
2. Menilai reliabilitas informasi PDE
3. Menilai kinerja operasional PDE
4. Mempertimbangkan kembali kebutuhan adanya bukti tambahan.
5. Mempertimbangkan faktor resiko
6. Mempertimbangkan tingkat materialitas
7. Bagaimana perolehan bukti audit.
4. Penyelesaian dan pengkomunikasian hasil audit.
Auditor menyiapkan beberapa laporan temuan dan mungkin merekomendasikan
beberapa usulan yang terkait dengan pemeriksaan dengan di dukung oleh bukti dan
dalam kertas kerjanya. Setelah direkomendasikan juga harus dipantau apakah
rekomendasinya itu ditindaklanjuti.
C. PROGRAM AUDIT
Program audit adalah rencana kerja audit secara terinci mengenai tindakan atau
kegiatan yang dilakukan auditor dengan maksud untuk mengumpulkan pembuktian.
Program audit terdiri atas prosedur-prosedur yang di desain untuk mencapai tujuan audit
(audit objective) yang dikembangkan selama fase perencanaan audit.
Program audit mengatur secara sistematis prosedur audit yang akan dilaksanakan
selama audit berlangsung. Program audit tersebut menyatakan bahwa prosedur audit yang
diyakini oleh auditor merupakan hal yang penting untuk mencapai tujuan audit. Program
audit juga mendokumentasikan strategi audit. Biasanya auditor berusaha menyeimbangkan
prosedur audit top-down dan bottom-up ketika mengembangkan suatu program audit.
Program audit dapat mencakup satu audit atau lebih prosedur, tergantung pada
ukuran, sifat dan kompleksitas organisasi yang diaudit. Audit tersebut dapat memiliki
beberapa tujuan dan dapat juga mencakup audit gabungan atau audit kombinasi.
Program audit juga mencakup seluruh kegiatan yang diperlukan untuk perencanaan
dan pengorganisasian tipe dan jumlah audit, dan menyediakan sumber daya untuk
melaksanakan audit secara efektif dan efisien dalam jangka waktu yang ditetapkan.
Auditor yang diberi tanggung jawab untuk mengelola program audit sebaiknya:
a) Menetapkan, menerapkan, memantau, meninjau dan meningkatkan program audit, dan
b) Mengidentifikasi sumberdaya yang diperlukan dan menjamin ketersediaannya.
Bila organisasi yang diaudit menerapkan sistem manajemen mutu dan sistem
manajeman lingkungan, audit kombinasi dapat dicakup dalam program audit. Untuk audit
kombinasi, kompetensi tim audit sebaiknya diperhatikan. Dua organisasi atau lebih yang
melakukan audit dapat bekerja sama untuk melaksanakan audit gabungan, sebagai bagian
dari program auditnya. Untuk audit gabungan, perhatian khusus sebaiknya diberikan pada
pembagian tanggung jawab, penyediaan sumber daya tambahan, kompetensi tim audit dan
prosedur yang sesuai. Kesepakatan mengenai hal-hal tersebut sebaiknya dicapai sebelum
audit dimulai.
Gambar :Aliran proses untuk pengelolaan program audit
Contoh-contoh dari program audit dapat mencakup hal-hal berikut:
a) Rangkaian audit internal yang mencakup sistem manajemen mutu organisasi untuk
tahun berjalan
b) Audit sistem manajemen oleh pihak kedua terhadap pemasok produk penting (critical
product) yang potensial yang dilaksanakan dalam waktu 6 bulan.
c) Audit sertifikasi/registrasi dan audit survailen yang dilaksanakan oleh lembaga
sertifikasi/registrasi pihak ketiga untuk sistem manajemen lingkungan dalam periode
waktu yang disepakati berdasarkan kontrak antara lembaga sertifikasi dan klien.
Program audit dapat juga mencakup perencanaan yang sesuai, penyediaan sumber daya
dan penetapan prosedur untuk melaksanakan audit sesuai program.
Penetapan Program Audit
Tujuan program audit
Tujuan program audit adalah suatu ketetapan yang menjadi sasaran atau hasil
akhir yang harus dicapai dalam pelaksanaan audit. Tujuan sebaiknya ditetapkan untuk
program audit untuk mengarahkan perencanaan dan pelaksanaan audit.
Tujuan tersebut dapat didasarkan pada pertimbangan mengenai:
a. Prioritas manajemen
b. Tujuan komersial
c. Persyaratan sistem manajemen
d. Persyaratan peraturan perundang-undangan dan persyaratan kontrak
e. Kebutuhan untuk evaluasi pemasok
f. Persyaratan pelanggan
g. Kebutuhan dari pihak lain yang berkepentingan, dan
h. Resiko terhadap organisasi.
Contoh tujuan program audit mencakup hal berikut:
a) untuk memenuhi persyaratan sertifikasi standar sistem manajemen;
b) untuk melaksanakan verifikasi kesesuaian dengan persyaratan kontrak;
c) untuk memperoleh dan memelihara kepercayaan terhadap kemampuan pemasok;
d) untuk memberikan masukan bagi peningkatan sistem manajemen.
Cakupan program audit
Cakupan program audit dapat bervariasi dan akan dipengaruhi oleh ukuran, sifat dan
kompleksitas dari organisasi yang diaudit, serta beberapa hal berikut:
a. Ruang lingkup, tujuan dan jangka waktu dari setiap audit yang dilaksanakan
b. Frekuensi pelaksanaan audit
c. Jumlah, kepentingan, kompleksitas, kemiripan dan lokasi dari kegiatan yang diaudit
d. Standar, peraturan perundang-undangan dan persyaratan kontrak serta kriteria audit
lainnya
e. Kebutuhan untuk akreditasi atau sertifikasi/registrasi
f. Kesimpulan dari audit sebelumnya atau hasil dari tinjauan program audit sebelumnya
g. Isu bahasa, budaya dan sosial
h. Perhatian pihak yang berkepentingan
i. Perubahan yang signifikan pada suatu organisasi atau operasinya.
Tanggung jawab program audit
Tanggung jawab untuk mengelola program audit sebaiknya diberikan kepada satu
orang atau lebih yang mengetahui secara umum mengenai prinsip audit, kompetensi
auditor dan penerapan teknik audit. Mereka sebaiknya memiliki keterampilan
manajemen serta memahami aspek teknis dan bisnis yang sesuai dengan kegiatan yang
diaudit.
Personel yang diberi tanggung jawab untuk mengelola program audit sebaiknya:
a. Menetapkan tujuan dan cakupan program audit,
b. Menetapkan tanggung jawab dan prosedur, dan menjamin tersedianya sumber daya,
c. Menjamin penerapan program audit,
d. Menjamin rekaman program audit dipelihara, dan
e. Memantau, meninjau dan meningkatkan program audit
Sumber daya program audit
Pada saat mengidentifikasi sumberdaya untuk program audit, pertimbangan sebaiknya
diberikan pada:
a. Sumber daya keuangan yang diperlukan untuk mengembangkan, menerapkan,
mengelola dan meningkatkan kegiatan audit
b. Teknik audit,
c. Proses untuk mencapai dan memelihara kompetensi auditor, dan untuk meningkatkan
kinerja auditor
d. Ketersediaan auditor dan tenaga ahli yang memiliki kompetensi yang sesuai dengan
tujuan program audit tertentu,
e. Cakupan program audit, dan
f. Waktu perjalanan, akomodasi dan kebutuhan audit lainnya.
Prosedur program audit
Prosedur program audit sebaiknya memuat hal berikut:
a. Perencanaan dan penjadualan audit
b. Pemastian kompetensi auditor dan ketua tim audit
c. Pemilihan tim audit yang sesuai dan penetapan tugas dan tanggung jawabnya
d. Pelaksanaan audit
e. Pelaksanaan tindak lanjut audit, bila diperlukan
f. Pemeliharaan rekaman program audit
g. Pemantauan kinerja dan keefektifan program audit
h. Pelaporan kepada manajemen puncak tentang keseluruhan pencapaian program audit.
Untuk organisasi skala kecil, kegiatan di atas dapat dinyatakan sebagai prosedur
tunggal.
PENERAPAN PROGRAM AUDIT
Penerapan program audit sebaiknya mencakup hal berikut:
a. komunikasi program audit kepada pihak yang sesuai
b. koordinasi dan penjadualan audit dan kegiatan lain yang sesuai dengan program audit
c. penetapan dan pemeliharaan proses untuk evaluasi auditor dan kesinambungan
pengembangan profesionalnya, sesuai dengan pemeliharaan dan peningkatan
kompetensi serta evaluasi auditor.
d. pemastian pemilihan tim audit
e. penyediaan sumber daya yang diperlukan untuk tim audit
f. pemastian pelaksanaan audit sesuai dengan program audit
g. pemastian pengendalian rekaman kegiatan audit
h. pemastian peninjauan dan pengesahan laporan audit, dan penyampaian kepada klien
dan pihak lain yang ditetapkan
i. pemastian tindak lanjut audit, bila diperlukan
Pemantauan dan peninjauan program audit
Penerapan program audit sebaiknya dipantau dan dikaji apakah tujuan telah
dipenuhi dan untuk mengidentifikasi peluang untuk peningkatan. Hasil tersebut
sebaiknya dilaporkan kepada manajemen puncak.
Indikator kinerja sebaiknya digunakan untuk memantau karakteristik seperti:
− kemampuan tim audit untuk menerapkan rencana audit,
− kesesuaian dengan program dan jadwal audit, dan
− umpan balik dari klien audit, auditi dan auditor.
Tinjauan terhadap program audit sebaiknya mempertimbangkan beberapa faktor
misalnya:
a. Hasil dan kecenderungannya yang diperoleh dari pemantauan,
b. Kesesuaian dengan prosedur,
c. Perkembangan kebutuhan dan harapan dari pihak yang berkepentingan,
d. Rekaman program audit,
e. Praktek audit alternatif atau yang baru, dan
f. Konsistensi kinerja di antara tim audit dalam situasi yang serupa.
g. Hasil tinjauan program audit dapat digunakan untuk tindakan korektif dan
pencegahan
h. Peningkatan program audit.
D. KERTAS KERJA
E. PENULISAN LAPORAN IT AUDIT
Laporan hasil audit adalah merupakan salah satu tahap paling penting dan akhir dari
suatu pekerjaan audit. Karena laporan hasil audit akan mempunyai dampak luas, maka
diperlukan pengetahuan khusus tentang penyusunan laporan hasil audit.
Arti Penting Laporan Hasil Audit
Laporan hasil audit yang disusun auditor mempunyai tujuan/ manfaat sebagai berikut :
1. Sebagai bukti pelaksanaan tugas
2. Sebagai sumber referensi untuk perencanaan audit berikutnya
3. Sebagai alat pembuktian apabila ada sanggahan dari pihak yang terlibat
4. Sebagai media untuk mengkomunikasikan informasi–informasi penting yang diperoleh
selama pelaksanaan audit.
Laporan hasil audit merupakan bentuk komunikasi tertulis yang berisi pesan agar
pembaca laporan (audite/manajemen) dapat mengerti dan menindaklanjuti temuan (sesuai
rekomendasi yang terdapat di dalam laporan tersebut). Laporan audit seharusnya merupakan
alat komunikasi yang efektif dan mempunyai dampak psikologis (positif maupun negatif)
bagi auditor maupun auditee, terutama individu yang terlibat. Jika suatu rekomendasi tidak
ditindaklanjuti oleh auditee atau pihak lain yang terkait, maka hal tersebut berarti
komunikasi tertulis yang dilakukan oleh auditor tidak efektif.
Prosedur Pelaporan
Pedoman pelaporan agar sesuai dengan efektivitas komunikasi dan dampak psikologis dari
suatu laporan hasil audit:
Bentuk laporan agar dibuat sedemikian rupa sehingga membangkitkan minat orang untuk
melihat isinya.
Sajikan kesimpulan (atau executive summary) pada bagian awal laporan agar pembaca
dapat segera mengetahui intisari laporan tersebut.
Kesimpulan agar disajikan sedemikian rupa sehingga pembaca ingin mengetahui lebih
mendalam tentang uraian dan kesimpulan.
Temuan agar disajikan sedemikian rupa sehingga pembaca dapat mengetahui tentang
kriteria yang digunakan, kondisi (temuan), sebab dan akibat temuan tersebut serta
melaksanakan perbaikan sesuai dengan rekomendasi yang disajikan dalam laporan hasil
audit.
Bentuk Laporan
Bentuk laporan hasil audit pada dasarnya memuat sebagai berikut:
a) Kulit depan (cover) dan Halaman pertama (cover dalam) atau title page
Judul sedapat mungkin bercorak khusus (spesifik) dan informatif. Misalnya dengan
menggunakan kata-kata “Laporan Hasil Audit………………”
b) Intisari hasil audit (Executive Summary atau Key Issues)
Intisari Hasil Audit harus memuat hal-hal sebagai berikut:
o Temuan dan kesimpulan
o Saran dan rekomendasi
o Pandangan para pejabat yang bertanggung jawab
o Temuan dan Kesimpulan
c) Daftar isi (Table mof Contents)
d) Ringkasan Rekomendasi (Summary of Recommendations)
e) Uraian hasil audit, Temuan dan Rekomendasi (Detailed Audit Report, Finding and
Recommendations)
f) Lampiran-lampiran
Penyajian uraian hasil audit
Uraian hasil audit disajikan pada bab tersendiri setelah bab intisari hasil audit. Uraian hasil
audit biasanya terdiri dari bagian-bagian:
a) Informasi Umum
Informasi umum disajikan dengan tujuan untuk menyediakan informasi bagi
pembacanya tentang program atau kegiatan yang diaudit dan sifat audit sehingga dapat
digunakan untuk membantu pembaca agar dengan mudah dapat menanggapi informasi
yang dimuat dalam laporan hasil audit.
Informasi umum yang disajikan biasanya dibagi menjadi beberapa sub bagian,
yaitu: Informasi mengenai sifat kegiatan audit, Informasi tentang kegiatan yang diaudit,
dan pernyataan-pernyataan pengimbang.
Informasi mengenai sifat kegiatan audit
Informasi mengenai sifat audit diperlukan untuk mengkomunikasikan temuan-
temuan secara jelas atau menempatkan dalam perspektif yang benar. Bagian ini
biasanya memuat yang berikut ini:
Sifat audit, apakah audit keuangan, audit operasional atau audit khusus.
Ruang lingkup audit, periode yang dicakup dalam audit atau saat terjadinya
kondisi yang dilaporkan.
Penjelasan mengenai keterbatasan dan ungkapkan bila ada pembatasan (hal-hal
yang menyebabkan audit tidak dapat dilaksanakan dengan lengkap).
Lokasi audit yang dilakukan apabila cukup banyak pada bagian ini diungkapkan
secara umum, tetapi dijelaskan pada masing-masing temuan.
Pernyataan mengenai tujuan dan latar belakang dilakukannya audit (why the
audit was performed), apa yang diharapkan dari hasil audit ini (what the auditor
was expected to accomplish).
Metodologi yang dilakukan dalam audit.
Referensi terhadap laporan-laporan lain dengan menyebutkan judul, nomor dan
tanggal laporan tersebut.
Informasi mengenai kegiatan yang diaudit, pada umumnya terdiri dari:
Latar belakang dan tujuan kegiatan
Sifat dan ukuran kegiatan yang diaudit
Organisasi dan manajemen
Informasi singkat mengenai latar belakang bidang yang diaudit untuk membantu
pembaca laporan yang belum mengenal kegiatan atau bidang yang diaudit.
Informasi ini biasanya disajikan cukup dalam satu-dua kalimat saja.
Laporan hasil audit juga harus memuat penjelasan singkat mengenai sifat dan
ukuran kegiatan yang diaudit sebagai latar belakang untuk temuan-temuan yang
dilaporkan.
Di dalam laporan hasil audit perlu diungkapkan mengenai organisasi dan
manajemen objek audit, untuk mengetengahkan bidang-bidang yang merupakan
sasaran komentar atau rekomendasi yang diusulkan dalam laporan.
Laporan harus menyatakan dengan singkat cara pengelolaan yang dilakukan
objek audit dalam melaksanakan tanggung jawabnya. Informasi ini harus dibuat
sesingkat mungkin dan konsisten dengan uraian yang mencukupi tentang setiap
kelemahan penting.
Untuk tujuan-tujuan khusus misalnya menjelaskan siapa saja yang bertanggung
jawab, maka daftar nama pejabat yang terkait dapat dikemukakan dalam laporan
hasil audit.
b) Temuan Audit
Bagian ini memuat pesan pokok yang ingin disampaikan auditor ke pembaca
laporan, dan merupakan alasan utama dibuatnya laporan tersebut. Temuan audit adalah
kesimpulan akhir dari kegiatan pemeriksaan, yaitu auditor melakukan pemeriksaan
dengan mengumpulkan bahan bukti audit (audit evidence collection) kemudian
melakukan analisis/evaluasi terhadap bahan bukti audit (audit evidence evaluation).
Pengumpulan bahan bukti audit dapat dilakukan dengan berbagai instrumen, yaitu antara
lain:
Pengamatan (observasi, observation)
Wawancara atau tanya jawab (interview)
Penelaahan/studi dokumentasi (surat keputusan/surat edaran/pedoman kerja/
tatalaksana kerja/risalah pertemuan/functional specification/system
specification/program specification/user manual, dan sebagainya).
Penelusuran transaksi dan dokumen sumber yang digunakan dalam kegiatan
Tes atau pengujian terhadap suatu prosedur kerja atau sistem aplikasi atau program
dalam sistemnya berbasis komputer. Pengujian program dapat dilakukan dengan cara
mengkaji diagram (data flow diagram/program flowchart/use case/entity
relationship diagram) maupun terhadap source code (listing programming language-
nya. Pengujian juga dapat dilakukan cara membuat data tes (test data generation),
yaitu data yang sudah dipersiapkan sedemikian rupa sehingga auditor sudah dapat
memperkirakan hasilnya dan dapat mengambil kesimpulan atas kondisi program
yang diaudit. Audit dapat dilakukan dengan audit with the computer, audit arround
the computer, dan audit through the computer.
Penjelasan ahli (misalnya penjelasan dari sistem analis atau pemrogram komputer).
Temuan audit kerap kali menyangkut hal-hal sebagai berikut
1. Temuan negatif
Temuan negatif adalah temuan berdasarkan bahan bukti audit bahwa ternyata
terdapat:
Ketidaktaatan terhadap ketentuan/ peraturan.
Pengeluaran uang yang tidak sepatutnya.
Ketidakhematan
Ketidakefisienan
Ketidakefektifan
yang dapat berakibat (adanya kemungkinan/resiko/dampak) yang merugikan
perusahaan, misalnya hilang atau rusaknya aset (termasuk data/informasi yang
dimiliki perusahaan), tidak dipatuhinya prosedur kerja atau ketentuan atau
kebijakan perusahaan, atau terjadinya kekeliruan (error/kesalahan–kelalaian,
tidak disengaja) maupun penyalahgunaan (fraud/kecurangan).
2. Temuan positif
Temuan positif adalah temuan berdasarkan bahan bukti audit bahwa ternyata terdapat
hal-hal yang bersifat positif dan perlu dikemukakan sebagai penghargaan atau
apresiasi terhadap auditan (give credit to everyone who try to do his/her best),
berikan pujian dan tonjolkan kelebihan-kelebihan untuk hal-hal yang pantas
dikemukakan. Temuan yang telah dikembangkan dengan baik harus disajikan
sedemikian rupa sehingga masing-masing temuan dibedakan dengan jelas.
c) Rekomendasi
Laporan hasil audit yang memuat rekomendasi konstruktif besar sekali
manfaatnya untuk mendorong perbaikan dalam pengelolaan program atau kegiatan.
Selain itu laporan yang bercorak informatif atau pengungkapan yang
mengkomunikasikan informasi yang bermanfaat dapat membantu pihak pemakai laporan
dalam melaksanakan tugasnya. Hal ini berarti tujuan dari pekerjaan audit dapat tercapai.
Rekomendasi dapat ditujukan kepada pemimpin objek audit atau atasan pemimpin objek
audit atau pihak (pejabat) lain yang terkait.
Rekomendasi harus disertakan dalam laporan hasil audit, apabila pekerjaan audit
memberikan indikasi perlunya diambil tindakan atau apabila tindakan yang dimaksud
belum dilaksanakan pada saat laporan disusun. Auditor wajib memberikan rekomendasi
kepada atasan objek audit atau pejabat yang berwenang melakukan tindak lanjut. Laporan
hasil audit harus memuat rekomendasi yang sesuai atau usul mengenai alternatif
tindakan, apabila hasil audit memberikan indikasi perlunya ada ketentuan atau tindakan
perbaikan. Rekomendasi juga harus diajukan dalam hal tindakan korektif telah dijanjikan
atau dimulai. Dalam hal ini auditor lebih baik menyatakan rekomendasi secara positif
daripada hanya mengungkapakan tindakan yang dijanjikan atau sedang ditangani objek
audit.
Setiap unit organisasi mempunyai tanggung jawab untuk menentukan cara
pelaksanaan kegiatan-kegiatannya dengan memperhatikan pembatasan dan persyaratan
yang berlaku. Auditor tidak memiliki kewenangan untuk langsung memerintahkan
dilakukannya perubahan dalam kebijakan, prosedur maupun fungsi dari objek audit.
Meskipun demikian apabila auditor mengamati adanya kekurangan dalam kegiatan objek
audit, maka ia harus mengajukan rekomendasi yang sesuai untuk itu. Untuk beberapa
masalah yang diungkapkan mungkin terdapat berbagai alternatif penyelesaian. Untuk itu
auditor harus mengajukan segi-segi positif dan negatif dari masing-masing alternatif dan
bukan mencoba menyalahkan terhadap salah satu penyelesaian tertentu.
Pentingnya suatu temuan dan rekomendasi bagi pembaca sebagian besar
tergantung dari lingkup penerapannya serta konsekuensi-konsekuensi praktis darinya
(baik yang telah atau mungkin akan terjadi). Karena itu penting bagi auditor untuk
mengetengahkan keuntungan-keuntungan praktis dari rekomendasinya dan merancang
rekomendasi itu sedemikian rupa sehingga diperoleh manfaat sebesar mungkin. Dalam
kasus dimana terdapat ketidaktaatan terhadap ketentuan, auditor harus
merekomendasikan tindakan khusus guna memperbaiki situasi dan bukan hanya
merekomendasikan agar ketentuan yang bersangkutan ditaati. Dalam menyusun konsep
rekomendasi auditor harus dengan seksama mempertimbangkan biaya untuk
melaksanakan rekomendasi dibandingkan dengan manfaat/ keuntungan yang dapat
diperoleh. Sejauh mungkin laporan hasil audit harus menyertakan informasi yang
menunjukkan bahwa rekomendasi tersebut dapat dipertanggungjawabkan dari segi biaya.
Sedapat mungkin rekomendasi ditempatkan segera setelah temuan yang bertalian
dengannya.
Contoh laporan hasil audit TI atau Sistem Informasi
Laporan Hasil Audit
Contoh:
Audit Pengendalian Pucuk Pimpinan
a) Tujuan pengendalian dan audit pengendalian pucuk pimpinan
Tujuan audit pengendalian pucuk pimpinan adalah untuk:
memeriksa sejauh mana pucuk pimpinan memberikan perhatian (organzing,
planning, coordinating, directing) terhadap unit fungsional sistem informasi di
perusahaan tersebut.
......... dst.
b) Resiko & Pengendalian yang Ada
Resiko bila pengendalian pucuk pimpinan kurang memadai adalah:
Tidak efektif/efisien/ekonomisnya sumberdaya informasi.
.......dst.
c) Pengendalian Yang Seharusnya Ada
Pengendalian pucuk pimpinan yang seharusnya ada adalah:
Adanya IT Plan yang jelas
Organisasi Komputer yang terkoordinir.
.......dst.
d) Instrumen Audit dan sumber datanya (lampirkan)
Dalam pengumpulan bahan bukti audit, instrumen pemeriksaan yang digunakan adalah:
Studi dokumentasi (Surat Keputusan Direksi, risalah rapat, pedoman kerja, dsbnya)
Wawancara dengan Direktur Utama dan Kepala Bagian EDP.
e) Temuan dan dampak/akibatnya
Kondisi yang ada saat ini adalah sebagai berikut:
Divisi Produksi memiliki komputer main-frame IBM 3090 dan digunakan untuk
mendukung kegiatan operasional. Sistem-sistem aplikasi yang sudah dioperasikan antara
lain ialah: aplikasi pengelolaan gudang sistem informasi manajemen persediaan
(materials management), jadwal produksi, dan komputerisasi yang berkaitan dengan
tenaga kerja.
Kegiatan sistem berbasis komputer lainnya ialah engineering design. Komputer
pada divisi ini juga digunakan untuk pengolahan data penjualan, misalnya pengolahan
data sales order untuk pelaporan penjualan, pengolahan data riset pemasaran (market
research, customer satisfaction research, research competitor data), pengolahan data
profil pelanggan, pengolahan data sekunder dari berbagai sumber dan instansi (lembaga)
publik (misalnya Biro Pusat Statistik, Departemen Perdagangan, dan kantor Pemerintah
Daerah), serta monitor salesman oleh Divisi Penjualan. Data tersebut diolah secara
centralized batch processing systems. Dalam konfigurasi sistem IBM 3090 tersebut data
disimpan pada sotarge berupa disk magnetis yang merupakan media penyimpanan data
on-line ke central processing unit komputer induk tersebut. Komputer tersebut juga
masih digunakan magnetic tape drive, serta dilengkapi dengan uniteruptable power
supply (UPS).
Di pihak lain, untuk kepentingan pengolahan data administratif dan akuntansi
keuangan Divisi Keuangan & Akuntansi juga memliki komputer mid-range IBM AS/400.
Komputer digunakan untuk pengolahan data akuntansi, khususnya untuk laporan
akuntansi keuangan dan laporan manajemen. Pada saat yang sama, sistem akuntansi
secara manual masih tetap dijalankan dengan jurnal dan pembukuan pada buku
besar/buku-pembantu untuk menghasilkan neraca, laporan laba rugi, dan laporan
kauangan lainnya. Komputerisasi untuk menghasilkan laporan keuangan (financial
reports) dan penggajian masih dilaksanakan secara batch processing system. Sistem
aplikasi yang digunakan adalah sistem komputerisasi yang didesain secara outsourcing
dan dioperasikan oleh petugaspetugas di bidang akuntansi dengan pelatihan-pelatihan
sebagai operator (user trainning).
Dengan perkembangan peralatan komputer dan tersedianya berbagai accounting
package software, maka secara bertahap perusahaan berusaha mengimplementasikan
paket software tersebut dan mencoba menghilangkan redundancy pengolahan komputer
dan pembukuan manual. Oleh karena divisi ini tidak memiliki information systems staff,
bila diperlukan untuk keperluan-keperluan tertentu mereka minta bantuan tenaga teknis
dari Bagian EDP. Dengan berkembangnya komputer mikro maka perusahaan juga mulai
menerapkan micro-based systems, melakukan office automation systems, end user
computing, maupun mengembangkan aplikasi-aplikasi sederhana berbasis sistem operasi
Microsoft Windows.
Kepala Bagian EDP telah menyampaikan beberapa usulan, misalnya antara lain:
Surat usulan standardisasi komputer dan prosedur kerja
Surat usulan tentang standar kualifikasi dan pelatihan programmer
Surat usulan standardisasi dokumentasim pengembangan sistem
Tetapi pimpinan perusahaan belum memberikan perhatian, karena mereka cenderung
melihat komputerisasi sebagai seuatu hal yang bersifat teknis dan alat belaka, belum
dipandang sebagai bagian yang strategis bagi organisasi. Organisasi unit komputer juga
belum terpadu dan dilakukan secara parsial (tidak integrated) Dan seterusnya, (boleh ber-
improvisasi atau berasumsi).
f) Penjelasan Pihak Yang Diaudit
Misalnya bila ada temuan masalah, tetapi pihak yang bersangkutan mencoba memberikan
tanggapan atau penjelasan mengapa demikian.
g) Saran/Rekomendasi dan konsekuensinya
Usul atau saran perbaikan dari Saudara dan apa konsekwensinya.
h) Rencana Pemantauan Tindak lanjut
Jelaskan rencana Saudara untuk memantau apakah saran/rekomendasi Anda
ditindaklanjuti apakah tidak, dan kapan jadwal yang diharapkan.
DAFTAR PUSTAKA
Astuti, Dewi Saptantinah Puji. -. PENERAPAN AUDIT MODERN DI ERA TEKNOLOGI
INFORMASI. Fakultas Ekonomi Universitas Slamet Riyadi, Surakarta
Sudiana, Karlina. 2010. Audit Pengolahan Data Elektronik (PDE)
http://grhoback.blogspot.com/2010/05/audit-pengolahan-data-elektronik-pd...
http://www.isaca.org/Search/Pages/DefaultResults.aspx?k=standart&s=Site
%20Content&start1=0&ct=Site&cs=ISACA&scopes=People,Site%20Content,Conversations
http://bastian90pangaribuan.blogspot.com/2011/10/perbedaan-auditing-pde-dengan-
auditing.html
http://irsoekarno.blogspot.com/2010/05/metode-audit-dalam-teknologi-informasi.html
http://ekonomister.blogspot.com/search/label/Pengauditan%20Data%20Elektronik
http://husnyarifuddin.blogspot.com/2012/11/teknologi-informasi-auditing.html
http://repository.binus.ac.id/2009-1/content/F0174/F017412438.pdf
MAKALAH IT AUDIT & DIGITAL FORENSIC
PELAKSANAAN IT AUDIT
Anggota Kelompok :
Dewi Noor F. R. (2013220773)
Faradilah Achmad (2013220775)
Meylinda Putri Irawati (2013220777)
Nyimas Wardatul Afiqoh (2013220827)
PENDIDIKAN PROFESI AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS BRAWIJAYA
2014