Académique Documents
Professionnel Documents
Culture Documents
Dosen :
Ir. Wahyu Sardjono, MM
Diajukan Oleh:
Permada Wirapranata
No. Reg. 23E0944
Kelas EKSEKUTIF 23 B
I. Pendahuluan
2
akuntansi baik pada saat input, proses sampai dengan output mengingat brainware
dibidang auditor yang mengenal teknologi informasi masih relatif sedikit karena
walaupun teknologi informasi sudah generalisasi dalam dunia bisnis namun tidaklah
banyak yang sesuai dapat menjawab standar keilmuan misalnya dalam memenuhi
kebutuhan audit sistem informasi komputerisasi akuntansi dimana peluang ini masih
jarang dilirik oleh para brainware dalam mengaplikasikan kemampuannya yang benar-
benar memahami ilmu ekonomi dan akuntansi yang juga diberikan keahlian dalam bidang
pemrograman komputer sehingga walaupun ada, harga software program aplikasi yang
digunakan untuk mengaudit tersebut masih relatif tinggi.
II. Pengertian
3
Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan
mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai
seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan
mengkomunikasikan hasilnya kepada pihak terkait.
Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan
audit sistem informasi (teknologi informasi). Audit IS merupakan proses pengumpulan
dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan
telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat
membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya
yang dimiliki secara efisien. Audit IS relatif baru ditemukan dibanding audit keuangan,
seiring dengan meningkatnya penggunan IT untuk mensupport aktifitas bisnis.
Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit
secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability,
confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses,
modifikasi program, audit atas sumber data, dan data file. Audit IT sendiri merupakan
gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem
Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Tahapan-tahapan dalam audit IT pada prinsipnya sama dengan audit pada
umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang
didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan
dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai
yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol,
yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan
menentukan luasnya pemeriksaan yang akan terlihat pada audit program.
4
Kemajuan IT telah mengubah cara perusahaan dalam mengumpulkan data,
memproses dan melaporkan informasi keuangan Oleh karena itu auditor akan banyak
menemukan lingkungan dimana data tersimpan lebih banyak dalam media elektronik
dibanding media kertas. Auditor harus menentukan bagaimana perusahaan menggunakan
systemTI untuk meng-inisiasi, mencatat, memproses dan melaporkan transaksi dalam
laporan keuangan. Sebenarnya tidak ada perbedaan konsep audit yang berlaku untuk
system yang kompleks dan system manual, yang berbeda hanyalah metode-metode
spesifik yang cocok dengan situasi system informasi akuntansi yang ada. Pemahaman ini
diperlukan dalam rangka mendapatkan pemahaman internal control yang baik agar dapat
merencanakan audit dan menentukan sifat, timing dan perluasan pengujian yang akan
dilakukan.
Menurut standar pada dasarnya auditor keuangan melakukan pengujian berikut:
1. Uji kepatuhan terhadap prosedur yang berlaku (otorisasi, kelengkapan,
keakuratan),
2. Uji Substantif (Uji terhadap transaksi dan hasil pengolahan),
3. Pengolahan kembali transaksi dalam prosedur pengujian kepatuhan atau
substantive.
Tentunya luasnya pengujian terkait dengan resiko deteksi yang dapat diterima oleh
auditor. Jenis dan luas pengujian tidak tergantung besarnya perusahaan tetapi ditentukan
oleh kompleksitas lingkungan IT yang ada seperti luasnya system on-line yang
digunakan, tipe dan signifikansi transaksi keuangan, serta sifat dokumen / database, serta
program yang digunakan.
Beberapa contoh situasi yang memerlukan pengujian pengendalian control
1. System IT yang digunakan untuk otomasi: proses inisiasi, recording, prosessing
dan pelaporan keuangan seperti ERP, (Gambar 1)
2. Electronic data interchange dan payment transfer system yang secara elektronik
men-transmit order dan pembayaran, (Gambar 2)
3. Program computer yang berisi algoritma dan formula yang melakukan kalkulasi
otomatis seperti komisi, allowance for doubtful account, reorder point, loan
reserve dan kalkulasi dana pension.
5
Sistem Informasi Akuntasi
Gambar 1
Siklus Sistem Informasi Akuntasi
Gambar 2
EDI Model
6
Pengujian Internal Control
Pengujian pengendalian dilakukan dengan mengidentifikasi aktivitas
control(policy dan procedure) yang ada untuk mencegah dan mendeteksi kesalahan saji
material dalam laporan keuangan. Dua aktivitas utama yang diuji adalah pengendalian
terkait dengan pemrosesan informasi yaitu general control dan application control.
• General control terkait dengan semua aktivitas computer dan termasuk control
atas system development, access security, program change, data center dan
network dan maintenance.
• Aplication control berhubungan dengan task spesifik yang dilakukan individual
aplikasi. Termasuk didalam prosedur cek dengan IT misalnya edit check saat
input data dan check yang dilakukan oleh individu termasuk manual follow-up
rekonsiliasi atau exception report Pengujian pengendalian bertujuan,
mengumpulkan bukti tentang seberapa efektif dan konsisten prosedur
pengendalian berjalan. Pengujian ini dilakukan dengan wawancara (inquiry),
inspeksi dokumen terkait atau inspeksi file elektronik terkait, observasi
penerapan pengendalian dan pemrosessan ulang transaksi.
Dalam mendesign pengujian automated control (computerised control / application
control), auditor harus mempertimbangkan kebutuhan untuk mendapatkan bukti
pendukung atas efektifitas pengendalian operasi secara langsung maupun tak langsung
terkait dengan asersi atas laporan keuangan Teknik yang digunakan untuk pengujian tentu
saja berbeda dengan teknik pengujian manual.
Ada beberapa teknik audit untuk mengetes automated control. Auditor dapat
menggunakan tiga kategori berikut dalam menguji pengendalian biasa juga disebut
sebagai teknik audit berbantuan computer (Computer Assisted Audit Techniques/CAAT)
yang terdiri atas:
1. Auditing Around the Computer
Dengan teknik ini auditor menguji reliability dari computer generated
information dengan terlebih dahulu menghitung hasil yang diinginkan dari
transaksi yang dimasukkan dalam system, dan kemudian membandingkan hasil
perhitungan dengan hasil proses atau output. Jika terbukti akurat dan valid, maka
diasumsikan bahwa system pengendalian berfungsi seperti yang seharusnya.
Kondisi ini cocok jika system aplikasi otomasi sederhana dan ringkas.
Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan software
akuntansi yang bervariasi dan melakukan proses secara periodic.
7
2. Auditing With the Computer
Adalah auditing dengan pendekatan computer, menggunakan teknik yang
bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT).
Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan
efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang
lazim dipakai adalah general audit software (GAS). GAS sering dipakai untuk
melakukan substantive test dan digunakan test of control yang terbatas. Sebagai
contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek
dalam program computer. Tetapi ini memerlukan pengalaman yang luas dalam
penggunaan software ini.
3. Audit Through the Computer
Teknik ini focus pada testing tahapan pemrosesan computerised, logic program,
edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika
program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines
dan programme check yang memadai, maka error dan kecurangan tidak akan
mudah terjadi tanpa terdeteksi.
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar
yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga
menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Sekarang keahlian dalam
mengaudit IT juga memerlukan sertifikasi sendiri, yaitu CISA (Certified Information
System Audit). Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines
memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai
penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui
auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS
auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance
dan procedure.
8
Standar yang aplicable untuk audit IT adalah terdiri dari 11 standar yaitu;
• Audit charter,
• Audit Independent,
• Profesional Ethic and standard, S4.Profesional competence,
• Planning,
• Performance of Audit Work,
• Reporting.
• Follow-Up Activity,
• Irregularities and Irregular Act,
• IT Governance dan
• Use of Risk Assestment in Audit Planning.
9
The COBIT Framework juga memasukkan hal-hal sebagai berikut
• Maturity Models – Untuk memetakan status maturity proses-proses IT (dalam
skala 0 - 5) dibandingkan dengan “the best in the class in the Industry” dan juga
International best practices.
• Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar
dapat melakukan kontrol atas proses IT.
• Key Goal Indicators (KGIs) – Kinerja proses-proses IT sehubungan dengan
kebutuhan bisnis dan;
• Key Performance Indicators (KPIs) – Kinerja proses-proses IT sehubungan
dengan process goals
COBIT dikembangkan sebagai suatu generally applicable and accepted standard for
good Information Technology (IT) security and control practices . Istilah ” generally
applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti
Generally Accepted Accounting Principles (GAAP). Suatu perencanaan audit IT dapat
dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui
analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu,
misalnya audit atas proyek IT, dapat dimulai dengan memilih proses yang relevan dari
proses-proses tersebut
10
IV. Tujuan
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari
ketatakelolaan IT, yaitu :
• Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi
difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu :
Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan)
dan Compliance (Kepatuhan).
• Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi
difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu :
Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya
IT yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasi yang
pernah dilakukan, antara lain :
• Evaluasi atas kesesuaian (strategic alignment) antara rencana strategis dan
rencana tahunan organisasi dengan rencana strategis IT, rencana tahunan IT dan
rencana proyek/program IT.
• Evaluasi atas kelayakan struktur organisasi IT, termasuk pemisahan fungsi
(segregation of duties) dan kelayakan pelimpahan wewenang dan otoritas
(delegation of authority).
• Evaluasi atas pengelolaan personil IT, termasuk perencanaan kebutuhan,
rekrutmen dan seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, serta
terminasi personil IT.
• Evaluasi atas pengembangan IT, termasuk analisis kebutuhan, perancangan,
pengembangan, pengujian, implementasi dan migrasi, pelatihan dan dokumentasi
IT, serta manajemen perubahaan.
• Evaluasi atas kegiatan operasional IT, termasuk pengelolaan keamanan dan
kinerja pengelolaan pusat data (data center), pengelolaan keamanan dan kinerja
jaringan data, dan pengelolaan masalah dan insiden IT serta dukungan pengguna
(helpdesk).
11
• Evaluasi atas kontinuitas layanan IT, termasuk pengelolaan backup & recovery,
pengelolaan prosedur darurat IT (IT emergency plan), pengelolaan rencana
pemulihan layanan IT (IT recovery plan), serta pengujian rencana kontijensi
operasional (business contigency/continuity plan).
• Evaluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input,
pengendalian proses dan pengendalian output.
• Evaluasi atas kualitas data/informasi, termasuk pengujian atas kelengkapan dan
akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.
12
V. Resiko
Pemrosesan data menjadi informasi dapat dilakukan secara manual atau dengan
menggunakan peralatan elektronik berupa komputer. Kemajuan dalam teknologi
komputer mempunyai dampak yang luar biasa pada seluruh aspek kegiatan usaha.
Akuntansi, sudah barang tentu tidak terlepas dari dampak tersebut. Dalam sistem
akuntansi manual, data sebagai masukan (input) diproses menjadi informasi sebagai
keluaran (output) dengan menggunakan tangan. Pada sistem akuntansi yang berkomputer
atau yang lebih sering disebut Pemrosesan Data Elektronik (EDP), data sebagai input
juga diproses menjadi informasi sebagai output. Keuntungan yang dapat dilihat secara
jelas dari penggunaan komputer ini adalah kecepatan, ketepatan, dan kemudahan dalam
memproses data menjadi informasi akuntansi. Disamping keuntungan tersebut, ada
beberapa hal yang perlu diperhatikan dalam menggunakan komputer sebagai alat
pengolah data yaitu resiko-resiko yang khas dalam suatu lingkungan akuntansi berbasis
komputer.
Auditor harus menyadari resiko-resiko ini karena hal ini merupakan ancaman
13
2. Dalam pemrosesan manual, kesalahan-kesalahan dibuat secara individual. Jadi
seseorang dapat memproses satu pos dengan benar, membuat kesalahan pada pos
berikutnya, memproses 20 pos berikutnya dengan benar dan kemudian membuat
selalu benar. Tetapi jika aturan-aturannya salah, pemrosesannya akan selalu salah.
Kondisi-kondisi yang mengakibatkan pengulangan kesalahan meliputi:
• Tidak cukupnya pengecekan atas pemasukan informasi input.
• Tidak cukupnya tes atas program
• Tidak dimonitornya hasil-hasil dari pemrosesan
3. Kesalahan berantai merupakan ‘efek domino’ dari kesalahan-kesalahan di segenap
sistem aplikasi. Kesalahan suatu bagian program atau aplikasi akan berakibat pada
kesalahan kedua yang meskipun tidak berkaitan di bagian lain aplikasi. Kesalahan
kedua ini dapat berakibat kesalahan ketiga dan seterusnya. Resiko kesalahan berantai
sering dikaitkan dengan pelaksanaan perubahan sistem aplikasi. Perubahan
dilaksanakan dan diuji dalam program di mana perubahan terjadi. Namun demikian,
beberapa kondisi dapat berubah karena adanya perubahan yang menimbulkan
14
• Sistem yang digunakan oleh banyak ‘user’ tanpa ada ‘user ‘ yang bertanggung
jawab atas sistem tersebut.
5. Ketidakmampuan dalam mengendalikan teknologi.Pengendalian memang sangat
diperlukan dalam penggunaan lingkungan berteknologi. Pengendalian-pengendalian
akan menjamin bahwa versi yang tepat berada digunakan pada saat yang tepat; bahwa
file-file yang tepat digunakan; bahwa para operator komputer melaksanakan instruksi
yang tepat; prosedur yang memadai dikembangkan untuk mencegah, mendeteksi dan
memperbaiki permasalahan yang terjadi; dan bahwa data yang tepat disimpan dan
kemudian diperoleh dengan mudah jika diperlukan.Kondisi yang menimbulkan
teknologi yang tak terkendali mencakup:
• Pemilihan kemampuan pengendalian sistem yang ditawarkan oleh rekanan
pemrogram sistem yang tanpa memperhatikan kebutuhan audit.
• Terlalu banyaknya pengendalian yang dikorbankan demi menjaga efisiensi
operasi.
• Prosedur-prosedur untuk memulai kembali/pemulihan (recovery data) yang
tidak memadai.
15
VI. Kesimpulan & Saran
Perkembangan penggunaan Sistem Teknologi Informasi pada setiap Perusahaan
di dunia maupun di Indonesia telah membentuk suatu konsep baru atas sistem
pemeriksaan yang dilakukan oleh setiap Kantor Akuntan Publik (KAP). Hal ini juga telah
diantisipasi oleh Institusi-institusi terkait dengan mengeluarkan peraturan-peraturan dan
pedoman terbaru dalam menghadapi perkembangan usaha pada saat sekarang ini. Dengan
demikian metode yang diterapkan oleh setiap KAP dalam melaksanakan tugas audit
mulai bergeser dari metode Audit Konvensional menjadi metode baru yaitu Audit Sistem
Teknologi Informasi.
Dengan melihat adanya kemungkinan masalah-masalah yang ditimbulkan dari
resiko-resiko yang telah disebutkan diatas maka auditor IT harus mempunyai kemampuan
dalam mendeteksi resiko system IT yang bisa muncul pada suatu perusahaan. Auditor IT
diharuskan membuat planning yang memadai dan dapat di aplikasikan dalam Audit
Program yang harus dijalankan. Dalam melakukan Audit atas Sistem teknologi Informasi
suatu Perusahaan, setiap auditor juga disyaratkan harus mempunyai latar belakang
pendidikan atau pelatihan serta pengalaman yang memadai untuk dapat melakukan Audit
yang efektif dan menghasilkan perbaikan atas kelemahan-kelemahan Perusahaan yang
telah mengaplikasikan system teknologi informasi pada setiap unit bisnis usahanya.
16
VII. Daftar Pusaka
- Standar Audit Sistem Informasi - Ikatan Audit Sistem Informasi Indonesia (IASII)
(www.iasii.or.id)
- Standard for Information System Auditing - Information System Audit and Control
Association (ISACA) (www.isaca.org)
-Materi Pelatihan “Information Technology Audit” - Audittindo Education
(www.audittindo.co.id)
- www.akuntan.com
- James O Brien (2008). Management Information System
- Artikel dari www.ebizzasia.com
- Robbert Davies,(2003) “Investigation Audit for Information System “
- Grant Thornton (2007), Audit Horizon
- IT Audit Curriculum – Internation Organization of Supreme Audit Institution
(INTOSAI) Standing Committee on IT Audit (www.intosaiitaudit.org)
- COBIT version 4.1 – Information Technology Governance Institute (ITGI)
(www.itgi.org)
17