AUDIT SISTEM

INFORMASI BERBASIS
KOMPUTER

Yeni Oftavia (0115101399)

Windri Manurung (0115101449)
JASA PEMBUKTIAN VS KEPASTIAN
• Jasa Pembuktian, Sebuah perjanjian dimana
seorang praktisi terlibat untuk menerbitkan atau
melakukan sebuah komunikasi tertulis yang
menyatakan kesimpulan tentang reliabilitas
sebuah pernyataan tertulis yang menjadi
tanggungjawab pihak lain
• Jasa Kepastian, merupakan jasa profesional yang
didesain untukmemperbaiki kualitas informasi,
baik keuangn maupun non keuangan yang
digunakan oleh para pengambil keputusan
 STANDAR AUDIT
Para auditor diarahkan oleh tanggungjawab
profesional yaitu sepuluh standat audit yang
berlaku umum (generally accepted auditing
standards-GAAS). Standat audit dibagi dalam
tiga kelas yaitu:
• Standar Kualifikasi Umum
• Standar Kerja Lapangan
• Standar Pelaporan
 JENIS KEGIATAN AUDIT INTERNAL
• Audit Keuangan merupakan pembuktian independen
yang dilakukan oleh seorang ahli yaitu auditor yang
menunjukkkan opininya tentang penyajian laporan
keuangan
• Audit Teknologi Informasi berfokus pada aspek-aspek
sistem informasi yang berbasis komputer. Audit TI
biasanya merupakan salah satu komponen yang
penting dari semua audit eksternal (keuangan) dan
internal
• Audit Operasional atau Manajemen berkaitan dengan
penggunaan secara ekonomis dan efisien sumber daya
serta pencapaian sasaran dan tujuan yang telah
ditetapkan
STANDAR AUDIT YANG BERLAKU UMUM
• Standar Umum
1. Auditor harus memiliki pelatihan dan keahlian
teknis yang memadai
2. Auditor harus independen dalam bersikap
3. Auditor harus bersikap profesional dalam
melakukan audit dan menyiapkan laporan
• Standat Kerja Lapangan
1. Kerja audit harus cukup terencana
2. Auditor harus mendapatkan pemahaman yang
cukup tentang struktur pengendalian internal
STANDAR AUDIT YANG BERLAKU UMUM
• Standar Pelaporan
1. Auditor harus menyatakan apakah laporan keuangan
tersebut disiapkan sesuai dengan prinsip-prinsip
akuntansi yang berlaku umum tidak diterapkan
2. Laporan tersebut harus menunjukkan situasi dimana
prinsip-prinsip akuntansi yang berlaku umum tidak
diterapkan
3. Laporan tersebut harus menunjukkan setiap item yang
tidak diungkapkan dengan informasi yang memadai
4. Laporan tersebut harus berisi pernyataan opini auditor
terhadap laporan keuangan secara menyeluruh
 ELEMEN AUDIT
• Audit merupakan sebuah proses sistematis yang secara
objektif mendapatkan dan mengevaluasi bukti-bukti yang
berkaitan dengan pernyataan tentang berbagai tindakan
dan peristiwa ekonomi untuk memastikan tingkat
korespondensi di antara pernyataan-pernyataan tersebut
serta kriteria-kriteria yang sudah ditetapkan. Selain itu
audit juga mengkomunikasikan hasilnya kepada para
pengguna yang berkepentingan
1. Proses Sistematis melakukan sebuah audit merupakan
proses yang sistematis dan logis yang dapat diterapkan
pada semua bentuk sistem informasi. Meskipun
penting dalam semua situasi audit, pendekatan sistem
secara khusus penting dalam lingkungan teknologi
informasi
 ELEMEN AUDIT
2. Pernyataan Manajemen dan Tujuan Audit
Laporan keuangan perusahaan mencerminkan serangkaian
pernyataan manajemen tentang kesehatan keuangan entitas.
Tugas auditor adalah menentukan apakah laporan keuangan
disajikan secara wajar atau tidak. Pernyataan manajemen ini
dikelompokkan dalam lima kategori umum:
• Pernyataan keberadaan atau kejadian
• Pernyataan kelengkapan
• Pernyataan hak dan kewajiban
• Pernyataan penilaian atau alokasi
• Pernyataan penyajian dan pengungkapan
 KOMPONEN RESIKO AUDIT
Resiko Audit, probabilitas bahwa seorang auditor
akan memberikan opini yang sesungguhnya tentang
laporan keuangan yang pada kenyataannya keliru secara
material yang dapat disebabkan oleh kesalahan
(kekeliruan yang tidak disengaja) atau ketidakberesan
(salah penafsiran yang disengaja untuk melakukan
kecurangan atau dengan sengaja menyesatkan para
pengguna laporan keuangan), atau keduannya
Tujuan auditor adalah meminimalkan resiko audit
dengan melakukan uji pengendalian dan uji substantif
 KOMPONEN RESIKO AUDIT
• Resiko Inheren berkaitan dengan karakteristik
unik dari bisnis atau industri klien. Perusahaan-
perusahaan yang berada dalam industri yang
sedang mengalami penurunan memiliki resiko
inheren yang lebih besar daripada perusahaan
yang industrinya stabil. Para auditor tidak dapat
mengurangi tingkat resiko inheren. Bahkan,
dalam sebuah sistem yang dilindungi oleh
pengendalian-pengendalian yang sangat baik,
data keuangan dan tentunya laporan keuangan,
dapat keliru dinyatakan secara material.
 KOMPONEN RESIKO AUDIT
• Resiko Pengendalian adalah kemungkinan bahwa
struktur pengendalian dilanggar karena tidak ada atau
tidak memadainya pengendalian untuk mencegah atau
mendeteksi kesalahan-kesalahan dalam akun. Sebuah
SIA dengan pengendalian yang memadai harus bisa
mencegah atau mendeteksi kesalaha-kesalahan.
Namun, jika pengendaliannya kurang dan setiap nilai
total tidak divalidasi sebelum diproses, maka resiko
kesalahan yang tidak terdeteksi ketika memasukkan
data ke file data akan meningkat. Auditor mengurangi
tingkat resiko pengendalian dengan melakukan
pengujian pada pengendalian internal
 KOMPONEN RESIKO AUDIT
• Resiko Deteksi adalah resiko yang akan
ditanggung oleh auditor yaitu kesalahan yang
tidak terdeteksi atau tidak dapat dihentikan
oleh struktur pengendalian, juga tidak akan
dideteksi oleh auditor. Para auditor
menetapkan tingkat resiko deteksi yang dapat
diterima (resiko dekeksi yang direncanakan)
yang mempengaruhi uji substantif yang
mereka lakukan.
 STRUKTUR AUDIT TEKNOLOGI
INFORMASI
• Perencanaan Audit
Bagian utama dalam tahap audit ini adalah analisis audit.
Tujuan tahap audit ini adalah mendapatkan informasi yang
memadai tentang perusahaan agar dapat merencanakan
tahap-tahap audit lainnya. Analisis risiko mencakup penilaian
terhadap pengendalian internal perusahaan. Selama
pemeriksaan pengendalian, auditor berusaha untuk
memahami kebijakan, praktik dan struktur organisasi. Auditor
juga menunjukkan aplikasi-aplikasi signifikan dari sudut
keuangan dan berusaha untuk memahami pengendalian
terhadap transaksi-transaksi utama yang diproses oleh aplikasi
tersebut.
Teknik-teknik yang digunakan untuk
mengumpulkan bukti, antara lain mengedarkan
kuesioner, mewawancarai pihak manajemen,
memeriksa dokumen sistem, dan mengamati
aktivitas. Auditor teknologi informasi harus
mengidentifikasi berbagai eksposur utama dan
pengendalian yang diterapkan untuk
mengurangi eksposur-eksposur tersebut.
Setelah itu, uditor melanjutkan ke tahap
berikutnya, yaitu pengujian kecocokan
pengendalian dengan standar-standar yang
sebelumnya sudah ditetapkan.
 STRUKTUR AUDIT TEKNOLOGI
INFORMASI
• Uji Pengendalian
Menentukan bahwa pengendalian internal yang
memadai telah diterapkan dan berfungsi dengan
benar. Teknik pengumpulan bukti yang
digunakan dalam tahap ini meliputi teknik
manual dan teknik khusus. Tingkat kemandirian
auditor dapat menentukan pengendalian-
pengendalian internal yang mempengaruhi sifat
dan ruang lingkup uji substantif.
 STRUKTUR AUDIT TEKNOLOGI
INFORMASI
• Pengujian Substansi
Hal ini melibatkan pemeriksaan secara terperinci pada
saldo akun dan transaksi tertentu melalui uji substansi.
Auditor memilih satu sampel dari piutang usaha dan
menelusuri kembali ke sumbernya, yakni pelanggan untuk
menentukan apakah jumlah yang dinyatakan tersebut
benar-benar dimiliki oleh pelanggan. Dengan melakukan
hal ini, auditor diharapkan dapat menentukan akurasi
setiap akun dalam sampel. Berdasarkan temuan sampel,
auditor dapat mengambil kesimpulan tentang nilai pasar
wajar dari seluruh aktiva piutang usaha.
Sebagian uji substantif merupakan aktivitas fisik
dan padat karya, seperti perhitungan kas,
perhitungan persediaan di gudang, dan verifikasi
ada atau tidaknya sertifikat saham didalam
lemari penyimpan. Di lingkungan TI, informasi
yang diperlukan untuk melakukan uji substantif
(seperti saldo akun, nama, dan alamat
pelanggan individual) terdapat dalam file data
serta sering kali harus diambil dengan
menggunakan peranti lunak teknik dan alat
audit berbantuan komputer.
 Pengujian Terhadap Pengendalian
Aplikasi Komputer
Beberapa teknik popular untuk mengaudit aplikasi komputer,
digolongkan dalam 2 kelas :
1. Teknik Untuk Menguji Pengendalian Aplikasi
Menyediakan informasi tentang akurasi dan kelengkapan proses
aplikasi, dengan mengikuti 2 pendekatan umum :
a. Pendekatan Kotak Hitam
Auditor yang melakukan pengujian kotak hitam tidak bergantung pada
pengetahuan terperinci tentang logika internal aplikasi. Sebaliknya,
mereka berusaha untuk memahami karakteristik fungsional aplikasi
dengan menganalisis bagan alir dan mewawancarai personel-personel
yang berpengetahuan luas dalam perusahaan klien. Auditor menguji
aplikasi dengan merekonsiliasi transaksi input produksi yang diposes
oleh aplikasi dengan hasil-hasil outputnya. Hasil output ini dianalisis
untuk memverifikasi kecocokan aplikasi dengan persyaratan
fungsionalnya.
 Pengujian Terhadap Pengendalian
Aplikasi Komputer
b. Pendekatan Kotak Putih
Bergantung pada pemahaman yang mendalam tentang logika internal
aplikasi yang sedang diuji. Teknik ini menggunakan sejumlah kecil
transaksi uji yang dibuat secara khusus untuk memverifikasi aspek-
aspek tertentu dari logika aplikasi dan pengendalian. Dengan cara ini,
auditor dapat melakukan pengujian dengan tepat, dengan variabel-
variabel yang diketahui dan mndapatkan hasil yang dapat
dibandingkan dengan hasil yang dihitung secara objektif.

2. Teknik untuk memeriksa perincian transaksi dan saldo akun-

pengujian substantif
Teknik pengujian substantif menyediakan bukti perincian transaksi atau
saldo akun kepada auditor. Teknik ini melibatkan pengambilan data
dari file dan basis data
 Komponen Sistem Informasi dan
Tujuan Audit
Komponen Sistem Informasi : data sumber, entri data, data sumber pemrosesan
program, file dan output.
Tujuan Audit
1. Pemahaman akan eksposur yang mengancam aktivitas organisasi
2. Pemahaman akan struktur pengendalian internal yang sudah ada
Kejelasan konseptual akan lebih berguna untuk mengingat relasi umum antara resiko,
pengendalian, tujuan audit, dan prosedur audit.
• Resiko, penghancuran yang disengaja, korupsi, atau pencurian data oleh pengguna
yang tidak memiliki otoritas, yang telah melewati batas hak istimewa aksesnya.
• Pengendalian, hak istimewa akses ke basis data dikendalikan oleh sebuah tabel
otoritas
• Tujuan Audit, memverifikasi bahwa pengguna hanya diizinkan mengakses data
yang dibutuhkan untuk melakukan tugas yang dilimpahkan kepadanya.
• Prosedur Audit, memilih sampel pengguna dan memverifikasi bahwa hak istimewa
aksesnya dinyatakan dalaam tabel otoritas konsisten dengan fungsi-fungsi
perusahaannya.
Menguji Pengendalian Sistem Operasi
Sistem operasi merupakan program pengendalian komputer yang
memungkinkan para pengguna dan aplikasinya untuk menggunakan
dan mengakses sumber daya komputer secara bersama-sama, seperti
profesor, memori utama, basis data, dan printer. Karena sistem operasi
tersebut sama untuk semua pengguna, maka semakin besar fasilitas
komputer, semakin besar pula potensi skala kerusakannya. Wilayah
pengendaliannya yang dipelajari adalah hak istimewa akses, kebijakan
kata sandi, pengendalian virus, pengendalian jejak audit, dan toleransi
kesalahan.

Tujuan Audit yang berkaitan dengan Hak Istimewa Akses

Memverifikasi bahwa hak istimewa akses diberikan dengan cara yang
konsisten dengankebutuhan untuk memisahkan fungsi-fungsi yang
saling bertentangan dan sesuai dengan kebijakan perusahaan.
Prosedur Audit Yang Berkaitan Dengan Hak Istimewa Akses
• Meninjau kebijakan organisasi untuk memisahkan fungsi-
fungsi yang saling bertentangan dan memastikan bahwa
mereka mempromosikan keamanan yang masuk akal
• Meninjau hak istimewa dari pemilihan kelompok pengguna
dan individu, untuk menentukan sesuai atau tidaknya hak
akses dengan deskripsi dan posisi kerja mereka.
• Meninjau catatan personel untuk memastikan bahwa
karyawan yang diberi hak istimewa menjalani pemeriksaan
keamanan secara intensif dan memadai serta sesuai
dengan kebijakan perushaan
• Meninjau catatan karyawan untuk memastikan bahwa para
pengguna secara resmi mengetahui tanggung jawab
mereka untuk mempertahankan kerahasiaan data
perusahaan
• Meninjau waktu log-on yang diizinkan untuk para pengguna
Tujuan Audit yang berkaitan dengan kata sandi
Untuk memastikan bahwa perusahaan memiliki kebijakan kata sandi
yang memadai dan efektif untuk mengendalikan akses ke sistem
operasi.
Prosedur Audit yang berkaitan dengan Kata Sandi
• Memverifikasi bahwa semua pengguna diharuskan memiliki kata
sandi
• Memverifikasi bahwa para pengguna baru diberi petunjuk dalam
menggunakan kata sandi dan pentingnya pengendalian kata sandi
• Memastikan bahwa prosedur-prosedur yang ada dapat
mengidentifikasi kata sandi yang lemah
• Menilai kecukupan standar kata sandi, seperti panjangnya dan
jangka waktu kedaluwarsanya.
• Memeriksa kebijakan dan prosedur penguncian akun. Kebanyakan
sistem operasi mengizinkan administrator sistem untuk
menentukan tindakan yang harus dilakukan setelah gagal
melakukan sejumlah usaha log-on
Tujuan Audit yang berkaitan dengan Virus dan Program Destruktif Lainnya
Kunci terhadap pengendalian virus komputer adalah pencegahan melalui ketaatan
yang ketat pada kebijakan dan prosedur organisasi yang melindungi sistem dari infeksi
virus.
Tujuan Auditor adalah memverifikasi bahwa kebijakan dan prosedur manajemen yang
efektif telah digunakan untuk mencegah masuk dan menyebarnya program yang
destruktis, termasuk virus, worm, back door, bom logika dan kuda Troya.

Prosedur Audit yang berkaitan dengan Virus dan Program Destruktif Lainnya
• Melalui wawancara, pastikan bahwa personel operasi telah dididik tentang virus
komputer dan menyadari resiko praktik komputasi yang dapat memasukkan dan
menyebarkan virus serta program lainnya yang bersifat merusak.
• Memeriksa prosedur operasi untuk menentukan apakah disket floopy digunakan
secara rutin untuk mentransfer data diantara kelompok kerja
• Memverifikasi bahwa administrator sistem secara rutin memeriksa tempat kerja
dan server file untuk ada atau tidaknya virus
• Memverifikasi bahwa peranti lunak diuji pada tempat kerja yang berdiri sendiri
sebelum diimplementasikan pada server host atau server jaringan
• Memverifikasi bahwa versi peranti lunak antivirus saat ini dipasangkan pada
server dan diperbarui secara berkala
Tujuan Audit yang berkaitan dengan Jejak Audit Otomatis
Jejak audit merupakan catatan harian yang dapat didesain
untuk mencatat aktivitas pada tingkat sistem, aplikasi, dan
tingkat pengguna. Jejak audit dapat mendukung tujuan
keamanan dengan tiga cara : mendeteksi akses yang tidak
memiliki otoritas, memfasilitasi rekontruksi peristiwa, dan
mempromosikan kuntabilitas pribadi.

Tujuan auditor adalah memastikan baahwa aktivitas audit

terhadap pengguna dan peristiwa tersebut memadai untuk
mencegah dan mendeteksi pelanggaran, merekonstruksi
peristiwa penting yang mendahului kegagalan sistem dan
merencanakan alokasi sumber daya.

Prosedur Audit yang berkaitan Jejak Audit Otomatis

Auditor harus memverifikasi bahwa jejak audit peristiwa
tersebut telah diaktifkan sesuai dengan kebijakan organisasi
Tujuan Audit yang berkaitan dengan Toleransi Kesalahan
Toleransi kesalahan adalah kemampuan sistem untuk
melanjutkan operasi ketika sebagai sistem mengalami
kegagalan karena kegagalan peranti lunak, kesalahan program
aplikasi, atau kesalahan operator.
Tujuan auditor adalah memastikan bahwa perusahaan
menerapkan tingkat toleransi kesalahan yang tepat.
Prosedur Audit yang berkaitan dengan Toleransi Kesalahan
• Kebanyakan sistem yang menggunakan redudant arrays of
inexpensive disks (RAID) menyediakan pemetaan grafis
sebagai tempat penyimpanan disket yang tidak diperlukan
• Jika organisasi tidak menggunakan RAID, potensi terjadinya
kegagalan sistem akan terwujud
• Memastikan bahwa selain boot disk telah dibuat untuk
setiap server pada jaringan, jika terjadi kegagalan pada
boot sector
Pengujian Pengendalian Struktur Organisasi
Tujuan Audit yang berkaitan dengan Struktur Organisasi
Tujuan auditor adalah memverifikasi bahwa individu-individu dalam bidang
kerja yang berbeda dipisahkan sesuai dengan tingkat potensi risikonya dan
dengan cara yang mendukung lingkungan kerja. Ini adalah lingkungan, dimana
relasi yang bersifat normal dan bukan kasual berada diantara tugas-tugas
yang tidak saling bersesuaian.

Prosedur Audit yang berkaitan dengan Struktur Organisasi

• Mendapatkan dan memeriksa kebijkaan perusahaan perihal keamanan
komputer
• Memeriksa dokumen yang relevan, termasuk struktur organisasi saat ini,
pernyataan misi, dan deskripsi pekerjaan fungsi utama, untuk memastikan
bahwa individu atau kelompok tersebut melakukan fungsi yang berbeda.
• Memeriksa dokumentasi sistem dan pemeliharaan catatan untuk sebuah
sampel aplikasi
• Melalui observasi, memastikan bahwa kebijakan pemisahan tugas benar-
benar dipraktikan.
• Memeriksa hak-hak pengguna untuk memverifikasi bahwa para progamer
memiliki hak istimewa akses yang konsisten dengan deskripsi pekerjaan
mereka.
 Audit Operasional Sistem Informasi
Akuntansi
Perbedaan utama teknik dan prosedur yang
digunakan dalam audit operasional adalah
bahwa ruang lingkup audit sistem informasi
dibatasi pada pengenalan internal, sementara
lingkup audit keuangan dibatasi pada output
sistem. Sebaliknya, lingkup audit operasional
lebih luas, melintasi seluruh aspek manajemen
sistem informasi. Tujuan audit operasional
mencakup faktor-faktor seperti efektivitas,
efisiensi, dan pencapaian tujuan.
Langkah-Langkah Audit Operasional Perencanaan Audit :
masa pembuatan lingkup dan tujuan audit, tinjauan awal atas
sistem dilakukan, dan program audit sementara dipersiapkan.
Pengumpulan bukti, meliputi kegiatan-kegiatan :
• Meninjau kebijakan dokumentasi operasional
• Melakukan konfirmasi atas prosedur dengan pihak
manajemen serta personil operasional
• Mengamati fungsi-fungsi dan kegiatan operasional
• Memeriksa rencana dan laporan keuangan serta
operasional
• Menguji akurasi informasi operasional
• Menguji pengendalian
Menjadi auditor operasional yang baik membutuhkan suaatu
pengalaman dalam bidang manajemen, memiliki perhatian
dan pengalaman audit serta beberapat tahun pengalaman di
posisi manajerial.
 Input

Auditor merekonsiliasi transaksi

Aplikasi yang
File Master input dengn output yang
sedang dikaji
dihasilkan oleh aplikasi

Output
Pertanyaan