PERTEMUAN IV

SPI DAN AUDIT SISTEM INFORMASI

I.PENGENDALIAN MANAJEMEN

Pengendalian Manajemen meliputi seluruh sistem organisasi,

kebijaksanaan, prosedur, dan praktik-praktik yang ditetapkan

oleh manajemen dalam mengelola instansi dan mengusahakan

pelaksanaan tanggung-jawab secara efektif untuk mencapai

hasil yang dimaksud.

II. STRUKTUR PENGENDALIAN INTERN

Struktur Organisasi dan semua cara dan tindakan yang

terkoordinir dan yang ditetapkan dalam satu perusahaan untuk

mengamankan/melindungi hartanya, menguji kecermatan dan

kebenaran data pembukuan, meningkatkan efisiensi operasi,

dan mendorong ditaatinya kebijakan manajemen

A. Sistem Akuntansi (SA)

Suatu jaringan menyeluruh dalam suatu organisasi yang terdiri

dari berbagai prosedur yang masing-masing terjalin secara erat

dan serasi satu sama lain yang disusun sebagai alat untuk

mengyelenggarakan suatu perusahaan secara efisien dan efektif

B. Sistem Informasi Akuntansi (SIA)

Komponen organisasional yang mengakumulasikan, memproses,

mengklasifikasikan, menganalisis dan mengkomunikasikan

orientasi keuangan yang relevan, dan informasi untuk pembuatan

keputusan bagi pemakai internal dan eksternal organisasi.

III. TUJUAN SPI

1. Menjaga kekayaan organisasi

2. Menjamin keandalan data akuntansi

3. Meningkatkan efisiensi kinerja

4. Mendorong dipatuhinya kebijakan manajemen

Sedangkan Tujuan Akhir Audit adalah:

Memberikan keyakinan yang memadai bahwa SPI organisasi cukup

handal untuk mencapai tujuannya

a t a u :

Proses Sistem Akuntansi Telah Berjalan dengan transparan dan

akuntabel

IV. MEMAHAMI SPI

1. Lingkungan Pengendalian

2. Penaksiran Risiko

3. Informasi dan Komunikasi (Sistem Akuntansi)

4. Pemantauan dan Monitoring (Prosedur Pengendalian)

V. LINGKUNGAN PENGENDALIAN

1. Integritas dan etika manajemen termasuk ada atau tidaknya

kesempatan fraud

2. Komitmen terhadap kompetensi termasuk apakah sudah

put the right man on the right place dan adakah pelatihan yang

menunjang keahlian itu

3. Filosofi atau gaya manajemen

a. Struktur organisasi dan delegasi otorisasi /tanggung jawab

b. Metode pengendalian/tolok ukur kinerja manajemen

c. Praktik/kebijakan-kebijakan umum

VI. PENAKSIRAN RESIKO

Cara menaksir risiko dari manajemen terhadap laporan keuangannya

mirip dengan auditor dalam menaksir risiko bawaan antara lain:

1. Kemampuan organisasi untuk mencukupi aliran kas dalam

pembelian,

2. Efek daerah terpencil: kenaikan biaya, pemasok tunggal, dll.

VII. PEMAHAMAN INFORMASI DAN KOMUNIKASI

Sistem akuntansi perusahaan seharusnya bisa menyediakan audit

trail yang lengkap atas tiap transaksi

Auditor dituntut untuk memahami :

1. Metode pemrosesan data,

2. Dokumen dan catatan yang digunakan,

3. Review ulang pengalaman terdahulu dengan organisasi auditan

VIII. PEMANTAUAN DAN MONITORING

komponen ini seharusnya menyediakan feedback buat manajemen (dan

auditor apakah kebijakan pengendalian/prosedur yang telah

diterapkan oleh manajemen.

Auditor seharusnya menggunakan hal ini sebagai bahan melihat apakah

manajemen melakukan koreksi atas terjadinya masalah dalam tubuh

perusahaannya.

Prosedur Pengendalian, terdiri atas:

1. Otorisasi yang memadai

2. Pemisahan tugas dan fungsi

3. Dokumen dan catatan

4. Pengendalian atas tiap akses harta/aktiva perusahaan

5. Pemeriksaan independen

IX. RESIKO DAN BUKTI AUDIT

Penentuan Risiko akan sangat mempengaruhi Kecukupan dan

Kompetensi Bukti Audit (Standar Pelaksanaan Audit Nomor 3)

Standar Pelaksanaan Audit Lapangan No. 3 menyatakan:

bukti audit kompeten yang cukup harus diperoleh melalui inspeksi,

pengamatan, pengajuan pertanyaan, dan konfirmasi, sebagai dasar

yang memadai untuk menyatakan pendapat atas laporan keuangan

auditan.

Hal penting dalam Standar Pelaksanaan Audit Nomor 3:

1. Kecukupan Bukti

2. Kompetensi Bukti

3. Dasar yang memadai / Rasional / Realistis

4. Sifat Bukti

5. Prosedur penghimpunan bukti

X. KECUKUPAN BUKTI

Kecukupan bukti lebih bersifat jumlah/kuantitas bukti yang dihimpun.

Faktor yang mempengaruhi kecukupan/ kuantitas bukti audit, al

1. Materialitas

2. Risiko Audit

3. Faktor-faktor ekonomi

4. Ukuran dan karakteristik populasi

Ada dua pengertian Material :

1. Penentuan tingkat materialitas yang bisa diterima Tolerable

misstatement tinggi, Bukti audit yang harus dikumpulkan makin

sedikit

2. Sifat materialitas akun, sehingga mungkin sekali ada salah saji

material misstatement tinggi, Bukti audit yang harus dikumpulkan

makin besar

XI. KOMPETENSI BUKTI

Menentukan kompetensi bukti harus melihat Empat unsur:

1. Relevansi

2. Independensi sumber bukti

3. Rentang waktu

4. Derajat obyektivitas bukti

XII. AUDIT SISTEM INFORMASI

1. Tujuan audit SIA

Tujuan audit SIA adalah untuk meninjau dan mengevaluasi

pengendalian internal yang melindungi sistem tersebut.

Ketika melaksanakan audit sistem informasi, para auditor harus

memastikan tujuan-tujuan berikut ini dipenuhi :

a. Perlengkapan keamanan melindungi perlengkapan komputer,

program, komunikasi, dan data dari akses yang tidak sah,

modifikasi, atau penghancuran. Pengembangan dan perolehan

b. Program dilaksanakan sesuai dengan otorisasi khusus dan

umum dari pihak manajemen.

c. Modifikasi program dilaksanakan dengan otorisasi dan

persetujuan pihak manajemen.

d. Pemrosesan transaksi, file, laporan, dan catatan komputer

lainnya telah akurat dan lengkap.

5. Data sumber yang tidak akurat atau yang tidak memiliki

otorisasi yang tepat diidentifikasi dan ditangani sesuai

dengan kebijakan manajerial yang telah ditetapkan.

6. File data komputer telah akurat, lengkap dan dijaga

kerahasiaannya.

2. Kerangka untuk Audit Keamanan Komputer

a. Jenis-jenis Kesalahan dan Penipuan

1). Pencurian atau kerusakan yang tidak disengaja atas hardware

dan file

2). Kehilangan, pencurian, atau akses tidak sah ke program, file

data, dan sumber daya sistem lainnya

3). Modifikasi atau penggunaan secara tidak sah program dan file

data

b. Jenis-jenis Prosedur Pengendalian

1). Rencana keamanan/perlindungan informasi

2). Pembatasan atas akses secara fisik ke perlengkapan komputer

3). Pengendalian penyimpanan dan pengiriman data seperti enkripsi

4). Prosedur perlindungan dari virus

5). Menggunakan firewall

6). Rencana pemulihan dari bencana

7). Pemeliharaan pencegahan

8). Asuransi sistem informasi

c. Prosedur Audit: Tinjauan atas Sistem

1). Menginspeksi lokasi komputer

2). Wawancara dengan personil sistem informasi mengenai

prosedur keamanan

3). Meninjau kebijakan dan prosedur

4). Memeriksa kebijakan asuransi apabila terjadi bencana atas

sistem informasi

5). Memeriksa daftar akses sistem

6). Memeriksa rencana pemulihan dari bencana

d. Prosedur Audit: Uji Pengendalian

1). Mengamati prosedur akses ke lokasi komputer

2). Memverifikasi bahwa terdapat pengendalian dan pengendalian

tersebut berfungsi seperti dengan yang diharapkan

3). Menginvestigasi berbagai kesalahan atau masalah untuk

memastikan mereka ditangani dengan benar

4). Memeriksa berbagai uji yang sebelumnya telah dilaksanakan

e. Pengendalian Pengimbang

1). Kebijakan yang baik dalam hal personalia

2). Penggunaan pengendalian secara efektif

3). Pemisahan pekerjaan yang tidak boleh

3. Kerangka untuk Audit Pengembangan Program.

a. Jenis-jenis Kesalahan dan Penipuan

1). Kesalahan pemrograman yang tidak disengaja

2). Kode program yang tidak sah

b. Jenis-jenis Prosedur Pengendalian

1). Otorisasi manajemen atas pengembangan program dan

persetujuannya untuk spesifikasi pemrograman

2). Persetujuan pemakai atas spesifikasi pemrograman

3). Pengujian keseluruhan atas program yang baru

4). Pengujian penerimaan oleh pemakai

5). Dokumentasi sistem yang lengkap

c. Prosedur Audit : Tinjauan Atas Sistem

1). Tinjauan independen dan bersaman atas proses pengembangan

sistem

2). Tinjauan prosedur dan kebijakan pengembangan/perolehan

sistem

3). Tinjauan otorisasi sistem dan prosedur persetujuannya

4). Tinjauan atas standar evaluasi pemrograman

5). Tinjauan atas standar dokumentasi program

6). Tinjauan atas pengujian program dan prosedur persetujuan

pengujian

d. Pengendalian Pengimbang

1). Pengendalian pemrosesan yang kokoh (kuat)

2). Pemrosesan secara independen data uji oleh auditor

e. Prosedur Audit : Uji Pengendalian

1). Wawancara dengan pemakai mengenai keterlibatan mereka

dalam perolehan/pengembangan serta implementasi sistem

2). Tinjauan atas notulen rapat tim pengembangan untuk peroleh

bukti keterlibatan

3). Memverifikasi poin-poin penting penolakan manajemen dan

pemakai dalam proses pengembangan

4). Tinjauan atas spesifikasi pengujian, data uji, dan hasil

pengujian sistem

4. Kerangka Untuk Audit Prosedur Modifikasi Program

a. Jenis-jenis Kesalahan dan Penipuan

1). Kesalahan pemrograman yang tidak disengaja

2). Kode program yang tidak sah

b. Jenis-jenis Prosedur Pengendalian

1). Daftar berbagai komponen program yang akan dimodifikasi

2). Otorisasi dan persetujuan pihak manajemen atas modifikasi

program

3). Persetujuan pemakai atas perubahan spesifikasi program

4). Pengujian keseluruhan atas perubahan program, termasuk

uji penerimaan pemakai

c. Prosedur Audit: Tinjauan Atas Sistem

1). Tinjau kebijakan, standar, dan prosedur modifikasi program

2). Tinjau standar dokumentasi untuk modifikasi program

3). Tinjau pengujian modifikasi program serta uji prosedur

pemberian persetujuan

4). Diskusikan kebijakan dan prosedur modifikasi program

dengan pihak manajemen, pemakai sistem, dan personil

sistem informasiPengendalian Pengimbang:

d. Pengendalian Pemrosesan Yang Bagus

Uji audit independen untuk perubahan program yang tidak sah

atau yang salah

e. Prosedur Audit : Uji Pengendalian

1). Verifikasi pemakai dan persetujuan manajemen sistem informasi

atas perubahan program

2). Verifikasi pemakai mengenai keterlibatan dalam perancangan

dan omplementasi sistem

3). Memverifikasi poin-poin penting penolakan manajemen dan

pemakai dalam proses pengembangan

4). Tinjauan atas notulen rapat tim pengembangan untuk mendapat

bukti keterlibatan

5). Tinjauan atas spesifikasi pengujian, data uji, dan hasil dari

pengujian sistem

f. Pengendalian Pengimbang

1). Pengendalian pemrosesan yang bagus

2). Uji audit independen untuk perubahan program yang tidak sah

atau yang

5. Kerangka untuk Melakukan Audit Pengendalian Pemrosesan

Komputer

a. Jenis-jenis Kesalahan dan Penipuan

1). Kegagalan untuk mendeteksi input data yang salah, tidak

lengkap, atau tidak sah

2). Kegagalan untuk memperbaiki kesalahan yang ditandai oleh

prosedur edit data dengan tepat

3). Masuknya kesalahan dalam file/database selama pembaruan

• b. Jenis-jenis Prosedur Pengendalian

1). Rutinitas edit data komputer

2). Penggunaan dengan benar label file eksternal dan internal

3).Prosedur perbaikan kesalahan yang efektif

4). Daftar dan ringkasan perubahan file yang disiapkan untuk

tinjauan atas departemen pemakai

c. Prosedur Audit : Tinjauan Sistem

1). Meninjau dokumentasi administratif untuk standar

pengendalian pemrosesan

2).Mengamati operasional komputer dan fungsi pengendalian

data

3). Meninjau salinan daftar kesalahan, laporan jumlah total

batch, dan daftar perubahan file

• d. Prosedur Audit: Uji Pengendalian

1). Mengevaluasi kecukupan dan kelengkapan pengendalian

edit data

2). Memverifikasi kepatuhan pada prosedur pengendalian

pemrosesan dengan cara mengamati operasional

komputer dan fungsi pengendalian data

3). Menelusuri pengaturan sampel kesalahan yang ditandai

oleh rutinitas edit data untuk memastikan adanya

penanganan yang tepat

4). Mengawasi sistem pemrosesan on-line dengan teknik

audit bersamaan

e. Pengendalian Pengimbang:

1). Pengendalian yang kokoh terhadap pemakai

2). Pengendalian data sumber yang efektif

6. Kerangka untuk Audit Pengendalian Data Sumber

a. Jenis-jenis Kesalahan dan Penipuan

1). Data sumber yang tidak akurat

2). Data sumber yang tidak sah

b. Jenis-jenis Prosedur Pengendalian

1). Otorisasi pemakai atas input data sumber

2). Penanganan input data sumber secara efektif oleh personal

pengendalian data

3). Mendaftar penerimaan, perpindahan, dan pemrosesan input

data sumber

4). Penggunaan dokumen yang dapat dikirim kembali

c. Prosedur Audit: Tinjauan Sistem

1). Meninjau dokumentasi administratif atas standar pengendalian

data sumber

2). Mendokumentasikan pengendalian data sumber akuntansi

dengan menggunakan sebuah matriks pengendalian input

3). Meninjau dokumentasi sistem akuntansi untuk mengidentifikasi

isi data sumber dan langkah pemrosesan serta pengendalian

data sumber tertentu yang digunakan.

d. Prosedur Audit: Uji Pengendalian

1). Mengamati dan mengevaluasi jalannya departemen pengendalian

data dan prosedur pengendalian data tertentu

2). Merekonsiliasi sebuah sampel jumlah total batch dan menindak

lanjuti penyimpangan

3). Memeriksa beberapa sampel data sumber akuntansi dalam hal

keberadaan otorisasi yang memadai

e. Pengendalian Pengimbang

1). Pengendalian pemrosesan yang kokoh

2). Pengendalian yang kokoh terhadap pemakai

7. Kerangka untuk Audit Pengendalian File Data

a. Jenis-jenis Kesalahan dan Penipuan

1). Modifikasi atau pengungkapan yang tidak sah atas data yang

disimpan

2). Penghancuran atas data yang disimpan akibat kesalahan yang

tidak disengaja, kegagalan fungsi hardware atau software

dan tindakan sengaja melakukan sabotase atau vandalisme

b. Jenis-jenis Prosedur Pengendalian

1). Pengendalian pembaruan bersamaan

2). Penggunaan yang sesuai atas label file dan mekanisme write

-protection

3). Penggunaan software perlindungan virus

c. Prosedur Audit: Tinjauan Sistem

1). Memeriksa rencana pemulihan dari bencana

2). Mendiskusikan prosedur pengendalian file data dengan

para manajer dan operator sistem

3). Meninjau kebijakan dan prosedur akses logika

4). Meninjau dokumentasi atas fungsi- fungsi operasional

perpustakaan file

d. Prosedur Audit: Uji Pengendalian

1). Mengamati dan mengevaluasi operasional perpustakaan file

2). Meninjau catatan pemberian dan modifikasi password

3). Mengamati persiapan dan penyimpanan di luar lokasi kantor

dari file cadangan

4). Merekonsiliasi jumlah total file utama dengan jumlah total

pengendalian yang diproses secara terpisah

e. Pengendalian Pengimbang:

1). Pengendalian keamanan komputer secara efektif

2). Pengendalian pemakai yang kokoh

3). Pengendalian pemrosesan yang kokoh

8. Software Komputer

Beberapa program komputer, yang disebut computer audit software

(CAS) atau generalized audit software (GAS), telah dibuat secara

khusus untuk auditor.

CAS adalah program komputer yang, berdasarkan spesifikasi dari

auditor, menghasilkan program yang melaksanakan fungsi - fungsi

audit.

a. Pemakaian Software Komputer

1). Langkah pertama auditor adalah memutuskan tujuan audit,

mempelajari file serta databse yang akan diaudit, merancang

laporan audit dan menetapkan bagaimana menghasilkannya.

2). Informasi dicatat dalam lembar spesifikasi dan dimasukkan

ke dalam sistem melalui program input data.

• 3). Program ini membuat catatan spesifikasi yang digunakan

CAS untuk menghasilkan satu atau lebih program audit.

4). Program audit memproses file sumber dan melaksanakan

operasional audit yang dibutuhkan untuk menghasilkan

laporan audit yang telah ditentukan.

b. Fungsi Umum Software Audit Komputer Pemformatan ulang

1). Manipulasi file

2). Perhitungan

3). Pemilihan data

4). Analisis data

5). Pemrosesan file

6). Statistik

7). Pembuatan laporan

9. Audit Operasional Atas Suatu SIA

Berbagai teknik dan prosedur yang digunakan dalam audit

operasional hampir sama dengan yang diterapkan dalam audit sistem informasi dan keuangan.

a. Perbedaan utamanya bahwa lingkup audit sistem informasi

dibatasi pada pengendalian internal, sementara lingkup audit

keuangan dibatasi pada output sistem.

b. Lingkup audit operasional lebih luas meliputi seluruh aspek

manajemen sistem informasi.

c. Tujuan audit operasional mencakup faktor seperti: efektivitas,

efisiensi, dan pencapaian tujuan.

d. Pengumpulan bukti mencakup kegiatan berikut ini :

1). Meninjau kebijakan dokumentasi operasional

2). Melakukan konfirmasi atas prosedur dengan manajemen

serta personil operasional

.

10. Audit Operasional Atas Suatu SIA

Prosedur pengumpulan bukti, contohnya adalah:

a. Mengamati fungsi-fungsi dan kegiatan operasional

b. Memeriksa rencana dan laporan keuangan serta operasional

c. Menguji akurasi informasi operasional

d. Menguji pengendalian

SOAL LATIHAN:

1. Yang tidak termasuk dalam tujuan SPI adalah:

A. Menjaga kekayaan organisasi perusahaan

B. Menjamin keandalan data akuntansi

C. Meningkatkan efisiensi kinerja

D. Mendorong dipatuhinya kebijakan manajemen

E. Hanya sebagai pelangkap sistem yang ada

2. Yang tidak termasuk dalam jenis pengendalian modifikasi program

adalah:

A. Daftar program yang dimodifikasi

B. Persetujuan fihak manajemen perusahaan

C. Persetujuan fihak user atau pemakai program

D. Pengujian sebagian perubahan program

E. Pengujian keseluruhan progran dan uji pakai

3.Yang tidak termasuk dalam fungsi umum software audit komputer

informasi ulang adalah:

A. Perhitungan

B. Manipulasi file

C. Statistik

D. Analisis sumber

E. Analisa Data

4. Yang tidak termasuk prosedur audit tinjauan atas sistem adalah:

A. Tinjauan independen atas proses pengembangan sistem

B. Tinjauan prosedur dan kebijakan pengembangan sistem

C. Tinjauan otorisasi sistem dan prosedur persetujuannya

D. Tinjauan standar evaluasi pemrograman tidak diperlukan

E. Tinjauan standar dokumentasi program

5. Yang tidak termasuk dalam prosedur pengumpulan bukti

adalah:

A. Penerimaan tugas audit klien

B. Mengamati fungsi-fungsi dan kegiatan operasional

C. Memeriksa rencana dan laporan keuangan serta operasional

D. Menguji akurasi informasi operasional

E. Menguji pengendalian