MAKALAH KELOMPOK SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
Audit Atas Sistem Informasi Berbasis Teknologi Informasi
Disusun Oleh: Dewa Ayu Sri Swasti Putri W Gladys Bella Novenna Rettob Ni Made Mega Abdi Utami Wa Ode Irma Sari
Disusun sebagai Salah Satu Syarat Syarat untuk Meraih Nilai Tugas Mata Kuliah Sistem Informasi dan Pengendalian Pengendalian Internal
FAKULTAS EKONOMI DAN BISNIS UNIVERSITAS BRAWIJAYA MALANG 2017
1. Memahami Tujuan Audit Sistem Informasi dan Pendekatan yang Digunakan
Tujuan dari audit sistem informasi adalah untuk mereview dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika menjalankan audit sistem informasi, auditor harus memastikan enam tujuan audit berikut terpenuhi: a. Keamanan secara keseluruhan b. Pengembangan dan akuisisi program c. Modifikasi program d. Pemrosesan komputer e. Data sumber f. Arsip data Pendekatan evaluasi pengendalian internal yang digunakan dalam audit sistem informasi akuntansi menggunakan pendekatan audit berbasis risiko ( risk – based audit approach), yang memberikan kerangka untuk melakukan audit sistem informasi. Dalam pendekatan audit berbasis risiko, langkah-langkah yang harus dilakukan terdiri dari: 1. Memahami ancaman (kecurangan dan kesalahan) yang dihadapi oleh perusahaan. 2. Mengidentifikasi prosedur pengendalian untuk mencegah, mendeteksi, atau mengoreksi ancaman tersebut. 3. Evaluasi atas prosedur pengendalian. 4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya terhadap sifat, waktu atau keluasan prosedur audit.
2. Merancang Suatu Rencana untuk Mengevaluasi Pengendalian Internal dalam Sistem Informasi
Rancangan suatu rencana untuk mengevaluasi pengendalian internal dal am sistem iformasi menggunakan pendekatan audit berbasis-risiko digunakan untuk mengevaluasi keenam tujuan audit sebagaimana dijelaskan sebelumnya. Kerangka
1
audit untuk mengevaluasi pengendalian internal dalam sistem informasi dipaparkan sebagai berikut: 2.1 Tujuan Audit 1: Keamanan secara Keseluruhan
Kerangka audit berbasis-risiko untuk memenuhi tujuan audit ini adalah sebagai berikut: 1. Jenis kesalahan (errors) dan kecurangan ( fraud ) yang mungkin terjadi dalam mengevaluasi tujuan audit ini antara lain: a. Pencurian piranti keras atau kerusakan piranti keras yang disengaja maupun tidak disengaja; b. Kehilangan, pencurian, atau akses yang tidak sah terhadap program, data dan sumber-sumber sistem lainnya; c. Kehilangan, pencurian atau pengungkapan yang tidak sah atas data yang sifatnya rahasia d. Modifikasi yang tidak sah atau pengguanaan program dan arsip data secara tidak sah; e. Gangguan atas aktivitas-aktivitas bisnis yang utama. 2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain: a. Rencana perlindungan atau pengamanan informasi; b. Pembatasan akses fisik terhadap peralatan komputer; c. Pembatasan akses logis terhadap sistem dengan menggunakan pengendalian otentikasi dan otorisasi; d. Pengendalian atas penyimpanan data dan transmisi data; e. Prosedur perlindungan terhadap serangan virus; f. Prosedur pencadangan data dan pemulihan data; g. Rancangan sistem toleransi-kegagalan; h. Rencana untuk mengatasi kerusakan sistem; i.
Pemeliharaan pencegahan;
j. Firewall
2
k. Asuransi atas kerusakan besar dan gangguan aktivitas bisnis yang utama 3. Prosedur audit untuk mereviu sistem, terdiri dari: a. Inspeksi di lokasi tempat penyimpanan peralatan komputer; b. Reviu keamanan/perlindungan informasi dan dan rencana untuk mengatasi kerusaka sistem; c. Wawancara dengan personil sistem informasi mengenai prosedur keamanan; d. Reviu atas kebijakan dan prosedur akses fisik dan akses logis; e. Reviu kebijakan dan prosedur pencadangan dan pemulihan arsip; f. Reviu kebijakan dan prosedur penyimpanan dan transmisi data; g. Reviu kebijakan dan prosedur untuk meminimalisir kegagalan sitem; h. Reviu kontrak pemeliharaan dengan vendor; i.
Memeriksa log/catatan akses sistem;
j.
Memeriksa kebijakan asuransi untuk menangani kerusakan besar dan gangguan aktivitas bisnis utama.
4. Prosedur audit untuk menguji pengendalian, terdiri dari: a. Mengamati dan menguji prosedur akses ke lokasi tempat penyimpanan peralatan komputer; b. Mengamati penyiapan penyimpanan dan pencadangan data on-site maupun off-site; c. Menguji prosedur pemberian dan modifikasi atas user ID dan kata kunci; d. Menyelidiki bagaimana cara untuk mengatasi akses-akses yang tidak sah; e. Memverifikasi keluasan dan efektivitas enkripsi data; f. Memverifikasi keefektifan pengendalian transmisi data; g. Memverifikasi keefektifan penggunaan firewall dan prosedur perlindungan atas virus;
3
h. Memverifikasi
peggunaan
pemeliharaan
pencegahan
dan
pengguanaan tenaga listrik cadangan/UPS (uninterruptable power supply); i.
Memverifikasi jumlah dan keterbatasan cakupan asuransi;
j.
Memeriksa hasil dari simulasi rencana pemulihan kerusakan data.
5. Pengendalian pengganti yang mungkin ada antara lain: a. Kebijakan personil yang mendukung termasuk pemisahan tugas; b. Pengendalian pengguna yang efektif.
2.2 Tujuan Audit 2: Pengembangan dan Akuisisi Program
Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pengembangan dan akuisisi program terdiri dari: 1. Jenis kesalahan (errors) dan kecurangan ( fraud ) yang mungkin terjadi dalam mengevaluasi tujuan audit ini antara lain: a. Kesalahan dalam pemograman yang tidak disengaja atau kode program yang tidak sah. 2. Prosedur pengendalian yang seharusnya diterpkan/ada antara lain: a. Mereviu persetujuan lisensi piranti lunak; b. Pengelolaan otorisasi pengembangan program dan perolehan piranti lunak; c. Pengelolaan dan perstujuan pengguna atas spesifikasi pemograma; d. Pengujian
secara
menyeluruh
atas
program-program
baru,
termasuk melakukan user-acceptance test. e. Dokumentasi sistem yang lengkap, termasuk perstujuannya. 3. Prosedur audit untuk mereviu sistem, terdiri dari: a. Reviu independen atas proses penggunaan sitem ; b. Reviu kebijakan dan prosedur pengembangan/perolehan sitem; c. Reviu kebijakan dan prosedur otorisasi sistem dan persetujuan; d. Reviu standar evaluasi pemograman; e. Reviu standar program dan dokumentasi sistem;
4
f.
Reviu atas uji spesifikasi, uji data dan hasil pengujiannya;
g. Reviu atas kebijakan dan prosedur uji persetujuannya; h. Reviu atas kebijakan dan prosedur perolehan persetujuan lisensi piranti lunak; i.
Diskusi dengan manajemen, para pengguna, dan personil sistem informasi terkait dengan prosedur pengembangan.
4. Prosedur audit untuk menguji pengendalian, terdiri dari: a.
Wawancara dengan pengguna atas keterlibatan mereka dalam perolehan/pengembangan sistem dan implementasinya;
b.
Reviu notulensi rapat tim pengembangan untuk membuktikan keterlibatannya dalam pengembangan/perolehan sistem;
c.
Verifikasi pengelolaan dan persetujuan sign-of f pengguna pada setiap tahap-tahap pengembanagan;
d.
Reviu
atas
pengujian
spesifikasi,
pengujian
data,
hasil
pengujiannya; e.
Reviu atas persetujuan lisensi piranti lunak.
5. Pengendalian pengganti yang mungkin ada antara lain: a.
Pengendalian pemrosesan yang kuat;
b.
Pemrosesan independen atas pengujian data oleh auditor.
2.3 Tujuan Audit 3: Modifikasi Program
Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas modifikasi program terdiri dari: 1. Jenis kesalahan (errors) dan kecurangan ( fraud ) yang mungkin terjadi dalam mengevaluasi tujuan audit ini antara lain: a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak sah. 2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain: a. Daftar komponen program yang akan dimodifikasi; b. Manajemen otorisasi dan persetujuan atas modifikasi program;
5
c. Persetujuan pengguna atas spesifikasi perubahan program; d. Tes menyeluruh atas perubahan program, termasuk mel akukan user acceptance test; e. Dokumentasi
lengkap
atas
perubahan
program,
termasuk
persetujuannya; f.
Pemisahan pengembangan pengujian dan hasil dari setiap versi program;
g. Perubahan yang diterapkan oleh personil yang independen dari pengguna dan pemrogram; h. Pengendalian atas akses logis. 3. Prosedur audit untuk mereviu sistem, terdiri dari: a. Reviu kebijakan, prosedur dan standar modifikasi program; b. Reviu standar dokumentasi untuk modifikasi program; c. Reviu dokumentasi akhir dari modifikasi program; d. Reviu pengujian modifikasi program dan prosedur pengujian persetujuan; e. Reviu uji spesifikasi, uji data dan hasil pengujiannya; f.
Reviu kebijakan dan prosedur uji persetujuan;
g. Reviu standar evaluasi pemrograman; h. Diskusi kebijakan dan prosedur modifikasi dengan manajemen, para pengguna dan personil sistem; i.
Reviu kebijakan dan prosedur pengendalian atas akses logis.
4. Prosedur audit untuk menguji pengendalian, terdiri dari: a. Verifikasi pengguna dan manajemen atas persetujuan sign-off untuk perubahan program; b. Verifikasi bahwa komponen program yang akan dimodifikasi telah diidentifikasi dan ada dalam daftar; c. Verifikasi
bahwa
prosedur
uji
perubahan
program
dan
dokumentasinya sudah sesuai dengan standar; d. Verifikasi bahwa pengendalian akses logis sudah diterapkan atas perubahan dalam program;
6
e. Mengamati implementasi perubahan program; f.
Verifikasi bahwa pemisahan pengembangan, pengujian dan hasil dari setiap versi program telah dilakukan;
g. Verifikasi bahwa perubahan tidak dilakukan oleh pengguna atau personil pemrograman; h. Pengujian atas perubahan program yang tidak sah atau kesalahan dalam perubahan program dengan menggunakan kode sumber dari program pembanding lainnya, pemrosesan ulang atau dari simulasi paralel. 5. Pengendalian pengganti yang mungkin ada antara lain: a.
Pengendalian pemrosesan yang kuat;
b.
Pengujian independen atas perubahan program yang tidak sah atau kesalahan dalam perubahan program.
2.4 Tujuan Audit 4: Pemrosesan Komputer
1. Krangka audit berbasis resiko untuk mengevaluasi tujuan audit atas pemprosesan komputer terdiri dari: a.
Kegagalan untuk mendeteksi input data yang salah, tidak lengkap atau tidak sah
b.
Kegagalan untuk memperbaiki kesalahan yang ditandai dengan adanya prosedur pengeditan data
c.
Adanya kesalahan ke dalam arsip atua database selama proses pemuktahiran
d.
Distribusi atau pengungkapan output komputer yang tidak te pat
e.
Ketidakakuratan dalam pelaporan secara disengaja maupun tidak disengaja
2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain: a.
Melakukan pengeditan data secara berkala
b.
Pengguna label yang tepat utuk setiap arsip internal dan ekternal
c.
Rekonsiliasi atas batch total
d.
Prosedur koreksi kesalahan yang efektif
7
e.
Pelaksanaan dokumentasi yang dapat dipahami dan menjalankan manualnya
f.
Supervisi yang kompeten atas pengoperasian komputer
g.
Penanganan input dan output data yang efektif oleh personil pengendalian data
h.
Penyusunan daftar perusabah arsip dan ikhtisarnya untuk direviu oleh departemen pengguna
i.
Pemeliharaan atas kondisi lingkungan yang tepat dalam fasilitas komputer
3. Prosedur audit untuk mereviu sistem, terdiri dari: a.
Reviu dokumentasi asministrasif untuk standar pengendalian pemprosesan
b.
Reviu dokumentasi sistem untuk pengeditan data dan pengendalian pemprosesan lainnya
c.
Reviu pelaksanaan dokumentasi untuk kelengkaoan dan kejelasan
d.
Reviu salinan daftar kesalahan, laporan batch total dan daftar perubahan arsip
e.
Mengamati pengoperasian komputer dan fungsi pengendalian data
f.
Membahas pengendalian pemprosesan dan output dengan operator dan supervisor sistem informasi.
4. Prosedur audit untk menguji pengendalian, terdiri dari: a.
Evaluasi
kecukupan
standar
dan
prosedur
pengendalian
pemprosesan b.
Evaluasi kecukupan dan kelengkapan pengendalian pengeditan data
c.
Verifikasi ketepatan prosedur pengendalian pemrosesan dengan mengamati pengoperasian komputer dan pengendalian data
d.
Verifikasi bahwa output dari sistem aplikasi telah didistribusi dengan benar
e.
Rekonsiliasi sampel batch total dari sistem aplikasi telah didistribusikan dengan benar
8
f.
Menelusuri kesalahan dalam sampel pengeditan data untuk memastikan adanya penanganan yang tepat
g.
Verifikasi akurasi pemprosesan transaksi yang sensitif
h.
Verifikasi akurasi transaksi yang dihasilkan oleh komputer
i.
Mencari kode-kode yang salah atau tidak sah dengan melakukan analisis logika program
j.
Mengecek akurasi dan kelengkapan pengendalian pemprosean dengan menggunakan pengujian data
k.
Memotinor sistem pemproses online dengan menggunakan teknik audit yang terkini
l.
Menghasilkan kembali laporan-laporan tertentu untuk menguji akurasi dan kelengkapan
5. Pengendalian pengganti yang mungkin ada antara lain: Pengendalian pengguna yang kuat dan pengendalian sumber data yang efektif
2.5 Tujuan Audit 5: Sumber Data
Kerangka audit berbasis resiko untuk mengevaluasi tujuan audit atas pengedalian sumber data terdiri dari: 1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam mengevauasi tujuan audit ini antara lain: Sumber data yang tidak akurat atau tidak sah 2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain: a. Penanganan input sumber data oleh personil pengendalian secara efektif b. Otorisasi pengguna atas sumber data input c. Penyusunan dan rekonsiliasi total batch control d. Mencatat setiap penerimaan, pergerakan dan disposisi semua sumber data input e. Verifikasi digit cek f.
Verifikasi kunci
9
g. Penggunaan dokumen pengembalian h. Pengeditan data secara rutin i.
Reviu departemen pengguna atas daftar perubahan arsip dan ikhtisarya
j.
Prosedur yang efektif untuk mengeroksi dan memasukkan ulang data yang salah.
3. Prosedur audit untuk mereviu sistem, terdiri dari a. Reviu dokumentasi mengenai tanggungjawab funsi pengendalian data b. Reviu administratif dokumentasi untuk standar pengendalian data c. Reviu metode otorisasi dana memeriksa tanda tangan otorisasi d. Reviu
dekomentasi
untuk
mengidentifikasi
langkah-langkah
pemprosesan serta pengendalian dan isi sumder data e. Dokumentasi pengendalian sumber data dengan menggunakan matriks input pengendalian f.
Mendiskusikan pengendalian atas sumber data dengan personil pengendalian, para pengguna sistem dan para manager
4. Prosedur audit untuk menguji pengendalian, terdiri dari a.
Memantau dan mengevaluasi operasi departemen pengendalian dan prosedur pengendaliannya
b.
Verifikasi pemeliharaan yang tepat dan pengguna catatan (log) pengendalian data
c.
Mengevaluasi bagaimana cara menangani kesalahan-kesalahan yang tercatat (error log items)
d.
Memeriksa sumber data untuk melihat apakah otorisasinya sudah tepat
e.
Rekonsiliasi batch total dan tindak lanjut atas penyimpangan yang terjadi
f.
Menelusuri disposisi atas kesalahan yang ditandai oleh adanya pengeditan data
5. Pengendalian pengganti yang mungkin ada antara lain
10
Pengendalian pengguna yang kuat dan pengendalian pemprosesan yang efektif
2.6 Tujuan Audit 6: Arisp Data
Kerangka audit berbasis resiko untuk mengevaluasi tujuan audit pengendalian atas arsip data tersendiri dari: 1. Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam mengevaluasi tujuan ini antara lain: a. Perusak data yang tersimpan karena eror, piranti keras dan piranti lunak yang multifungsi, dan tindakan sabotase dan vandalisme yang disengaja b. Modifikasi atau pengungkapan atas data yang tersimpan secara tidak sah 2. Prosedur pengendalian yang seharusnya diterapkan/ada antara lain: a.
Penyimpangan data dalam arsip dokumen yang aman dan pembatasan akses fisik terhadap arsip-arsip data
b.
Pengendalian atas akses logis dan matriks pengendalian akses
c.
Penggunaan label arsip dan mekanisme perlindungan penulisan yang tepat
d.
Pengendalian pemuktahiran yang berkelanjutan
e.
Enkripsi data untuk data yang sifatnya rahasia
f.
Piranti lunak untuk perlindungan terhadap virus
g.
Cadangan seluruh arsip data secara off-site
h.
Prosedur titik-titik pengecekan dan peosedur pengembalian data (rollback) untuk memfasilitasi pemulihan sistem.
3. Prosedur audit untuk mereviu sistem, terdiri dari: a.
Reviu dokumentasi untuk operasi perpustakaan arsip
b.
Reviu kebijakan dan prosedur akses logis
c.
Reviu standar untuk perlindungan atas virus, penyimpanan data off-site, dan prosedur pemulihan sistem
11
d.
Reviu pengendalian untuk pemuktahiran berkelanjutan, enkripsi data, konversi arsip dan ekonsiliasi total arsip utama dengan total pengendalian independen
e.
Memerika rencana pemulihan kerusakan sistem
f.
Mendiskusikan prosedur pengendalian arsip dengan para manajer dan operator
4. Prosedur audit untuk menguji pengendalian, terdiri dari: a.
Memantau dan mengevaluasi operasi perpustakaan arsip
b.
Mereviu catatab pemberian password dan modifikasinya
c.
Memantau dan mengevaluasi posedur penanganan arsip oleh personil operasi
d.
Memantau persiapan dan penyimpanan cadangan arsip off-site
e.
Verifikasi efektifitas pengguna prosedur perlindungan atas virus
f.
Verifikasi pengendalian pemuktahiran berkelanjutan dan enkripsi data
g.
Verifikasi kelengkapan, keberlakuan, dan pengujian rencana pemulihan kerusakan
h.
Rekonsiliasi total diarsip utama dengan total pengendalian yang dilakukan secara terpisah
i.
Memantau
prosedur
yang
digunakan
untuk
mengendalikan
konversi arsip 5. Pengendalian pengganti yang mungkin ada antara lain: a.
Pengendalian pengguna dan pemprosesan data yang kuat
b.
Pengendalian keamanan komputer yang efektif
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama, yaitu: 1.
Conformance (Kesesuaian) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality
12
(Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan). 2.
Performance (Kinerja) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
3.
Memahami Penggunaan Piranti Lunak Computer Audit dan Perannya dalam Menunjang Audit Sistem Informasi
Computer Assisted Audit Techniques (CAATS) merupakan suatu piranti lunak audit yang juga disebut dengan generalized audit software yang menggunakan spesifikasi yang diberikan oleh auditor untuk menghasilkan program yang menjalankan fungsi audit, sehingga mampu menyederhanakan proses audit. Dua piranti lunak yang paling sering digunakan adalah Audit Control Language (ACL) dan Interactive Data Extraction and Analysis (IDEA). CAATS cocok untuk memeriksa arsiparsip data yang besar untuk mengidentifikasi catatan-catatan yang dibutuhkan untuk melakukan audit dengan seksama. Dalam menggunakan CAATS auditor memutuskan tujuan audit, mempelajari mengenai arsip dan database yang akan diaudit, merancang laporan audit, dan menentukan bagaimana menghasilkan laporan audit. Progrma CAATS menggunakan spesifikasi untuk menghasilkan suatu program audit. Program tersebut menggunakan salinan data langsung perusahaan (untuk menghindari masuknya kesalahan) untuk melakukan prosedur audit dan menghasilkan laporan audit tertentu. Beberapa kegunaan utama CAATS adalah sebagai berikut : 1. Melakukan query arsip data untuk menarik catatan-catatan yang memenuhi kriteria tertentu. 2. Menghasilkan, memutakhiran, membandingkan, mengunduh dan menggabungkan arsip. 3. Mengikhtisarkan, mengurutkan dan menyaring data.
13
4. Mengakses
data
dari
beragam
format
yang
berbeda
dan
mengkonversi data ke dalam format umum. 5. Memeriksa catatan- catatan untuk menguji kualitas, kelengkapan, konsistensi dan kebenarannya. 6. Stratifikasi catatan-catatan, memilih dan menganalisis sampel statistik. 7. Menguji risiko-risiko tertentu dan mengidentifikasi bagaimana cara untuk mengendalikan risiko tersebut. 8. Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya. 9. Melakukan uji analisis, seperti analisis rasio dan tren, mencari pola data yang tidak diperkirakan atau data yang tidak dapat dijelaskan yang mungkin mengindikasikan adanya kecurangan.
Referensi: Ikatan Akuntan Indonesia (2015). Modul Chartered Accountant ( Sistem Informasi dan Pengendalian Internal). Jakarta
14