Audit Sistem Informasi Para auditor disewa untuk berbagai jenis tugas dan tanggung jawab. Banyak organisasi yang mempekerjakan auditor internal untuk untuk mengev mengevalu aluasi asi jalanny jalannyaa operasi operasi perusah perusahaan aan.. General General Acco Accoun unti ting ng Offi Office ce dan dan pem pemerin erinta tah h nega negara ra bagi bagian an juga juga mem mempek pekerja erjak kan audi audito torr untu untuk k menge engev valua aluasi si kin kinerja erja manajemen dan kesesuaian dengan keinginan legislatif dalam berbagai departemen milik pemerintah. Departemen Pertahanan mempekerjakan auditor untuk melakukan tinjauan atas catatan keuangan perusahaan!pe perusahaan!perusah rusahaan aan yang memiliki kontrak peralatan pertahanan. Perusahaan!perusahaan terbuka menyewa auditor eksternal untuk memberikan tinjauan independen atas laporan keuangan mereka. Audi Audito torr inter interna nall secara secara langs langsun ung g bert bertan angg ggun ung g jawab jawab untu untuk k memb memban antu tu piha pihak k manaj manajem emen en mening meningkat katkan kan efekti efektivita vitass dan efisien efisiensi si organi organisasi sasiona onal" l" termasuk termasuk memban membantu tu mendes mendesain ain dan mengimplemen mengimplementasika tasikan n #$A yang memberikan memberikan kontribusi kontribusi pada tujuan perusahaan. perusahaan. #ebalikny #ebaliknya" a" auditor auditor eksternal eksternal terutama terutama bertanggun bertanggung g jawab pada pihak!pihak pihak!pihak yang berkepentin berkepentingan gan terhadap terhadap perusahaan dan investor" dan hanya secara tidak langsung berkepentingan dalam efektivitas #$A perusahaan. Di luar perbedaan ini" banyak konsep dan teknik audit internal yang dapat diterapkan untuk audit eksternal. Sifat Audit.
American Accounting Association telah merumuskan definisi umum berikut ini untuk audit. Audit adalah adalah sebuah sebuah proses proses sistema sistematis tis untuk untuk secara secara objekt objektif if mendap mendapatk atkan an dan mengev mengevalu aluasi asi bukti bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi" untuk memasti memastikan kan tingka tingkatt kesesua kesesuaian ian antara antara perny pernyataa ataan n tersebu tersebutt dengan dengan kriter kriteria ia yang yang telah telah ditetap ditetapkan kan"" serta serta mengko mengkomun munika ikasik sikan an hasil!h hasil!hasi asilny lnyaa pada pada para para pemakai yang berkepentingan. Audit membutuhkan pendekatan langkah per langkah yang dibentuk dengan perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati!hati. Dalam membuat rekomendasi" auditor membuat kriteria!kriteria" seperti prinsip!prinsip manajemen dan pengendalian" sebagai dasar evaluasi.
Para auditor biasanya mengaudit di luar komputer (audit around the computer ) dan tidak menghiraukan menghiraukan komputer komputer dan program-progra program-programnya. mnya. Mereka hanya mempelajari catatan dan output dari sist sistem em ters terseb ebut ut,, dan dan berp berpik ikir ir jika jika outp output ut tela telah h dengan dengan benar benar dihasilk dihasilkan an dari input sistem, sistem, maka pemrosesan pastilah andal. Pende endek katan atan yang yang lebi lebih h baru baru,, yait yaitu u audi auditt mela melalu luii kompu ompute terr ( audit ), mengguna menggunakan kan komput komputer er untuk untuk memeriksa memeriksa through the computer ), kecukupan pengendalian sistem, data dan ouput.
Standar-standar Audit Internal.
Berdasa Berdasarka rkan n Institu Institute te of Interna Internall uditor uditor (II), (II), tujuan tujuan dari dari audit audit internal adalah untuk menge!aluasi kecukupan kecukupan dan efekti!itas sistem pengendalian internal perusahaan, serta menetapkan keluasan dari pelaksan pelaksanaan aan tanggung tanggung ja"ab ja"ab yang benar benar-benar -benar dilakuk dilakukan. an. #elima standa standarr lingk lingkup up audit audit II II member memberik ikan an garis garis besar besar atas atas tangg tanggung ung ja"ab auditor auditor internal$ %.
Melakuk Melakukan an tinjauan tinjauan atas atas keand keandalan alan dan dan integrit integritas as informa informasi si operasio operasional nal dan dan keuang keuangan, an, serta bagaimana bagaimana hal tersebut tersebut diidenti&k diidenti&kasi, asi, diukur, diukur, diklasi&k diklasi&kasi asi dan dilaporkan. '. Meneta Menetapk pkan an apakah apakah sistem. sistem. telah telah didesa didesain in untuk untuk sesua sesuaii denga dengan n kebijak ebijakan an operasion operasional al dan pelapora pelaporan, n, perenca perencanaan naan,, prosedu prosedur, r, hukum, hukum, dan peratura peraturan n yang berlaku. . Mela Melak kukan ukan tinja tinjaua uan n meng mengen enai ai baga bagaim iman ana a aset aset dija dijaga ga,, dan dan mem! mem!er eri&k i&kas asii keberadaan keberadaan aset tersebut. . Mempel Mempelaja ajari ri sumber sumber daya perus perusaha ahaan an untuk untuk meneta menetapk pkan an seberap seberapa a efekti efektif f dan e&sien mereka digunakan. *. Mela Melak kukan ukan tinj tinjau auan an atas atas oper operas asio iona nall dan dan prog progra ram m peru perusa saha haan an,, untuk ntuk menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-tujuan mereka. . ( +ommittee on Basic uditing +oncepts. tatement of Basic uditing +oncepts (arasota. .$ merican ccounting ssociation. %/0). '.) Berb Berbag agai ai orga organi nisa sasi si sek sekaran arang g ini, ini, meng menggu guna nak kan I I terkompu terkomputeris terisasi asi untuk untuk memproses memproses,, menyimpa menyimpan, n, clan mengenda mengendalika likan n informa informasi si perusahaan. perusahaan. 1ntuk mencapai kelima tujuan yang telah disebutkan disebutkan di atas, seorang auditor auditor internal internal memiliki memiliki kuali&k kuali&kasi asi untuk untuk memeriksa memeriksa seluruh seluruh elemen elemen I yang terko terkompu mputer terisa isasi si dan dan mengg menggun unak akan an kompute omputerr seba sebagai gai alat alat untuk untuk mencap mencapai ai tujuan-tujuan audit tersebut. 2engan kata lain, keahlian komputer merupakan hal yang penting untuk melaksanakan audit internal.
Jenis-jenis Kegiatan Audit Audit Internal
3erdapat 3erdapat tiga jenis jenis audit yang yang biasanya dilakuk dilakukan, an, yaitu$ %. Audit memeriks ksa a keanda eandalan lan dan dan integr integrita itas s catata catatan-c n-cata atatan tan Audit Keuang Keuangan an memeri akuntansi (baik informasi keuangan dan operasional) dan menghubun menghubungka gkannya nnya dengan dengan standar standar pertama pertama dari kelima kelima standar standar lingku lingkup p audit internal. '. Audit Sistem Informasi melakukan tinjauan atas pengendalian I untuk menilai menilai kesesu kesesuaian aiannya nya dengan dengan kebijak kebijakan an dan prosedu prosedurr pengenda pengendalian lian serta efek efekti ti!i !ita tas s dala dalam m menj menjag aga a aset aset peru perusa saha haan an.. ing ingk kupny upnya a seca secara ra kasa kasarr berhubungan dengan standar kedua dan ketiga dari II.
Berdasa Berdasarka rkan n Institu Institute te of Interna Internall uditor uditor (II), (II), tujuan tujuan dari dari audit audit internal adalah untuk menge!aluasi kecukupan kecukupan dan efekti!itas sistem pengendalian internal perusahaan, serta menetapkan keluasan dari pelaksan pelaksanaan aan tanggung tanggung ja"ab ja"ab yang benar benar-benar -benar dilakuk dilakukan. an. #elima standa standarr lingk lingkup up audit audit II II member memberik ikan an garis garis besar besar atas atas tangg tanggung ung ja"ab auditor auditor internal$ %.
Melakuk Melakukan an tinjauan tinjauan atas atas keand keandalan alan dan dan integrit integritas as informa informasi si operasio operasional nal dan dan keuang keuangan, an, serta bagaimana bagaimana hal tersebut tersebut diidenti&k diidenti&kasi, asi, diukur, diukur, diklasi&k diklasi&kasi asi dan dilaporkan. '. Meneta Menetapk pkan an apakah apakah sistem. sistem. telah telah didesa didesain in untuk untuk sesua sesuaii denga dengan n kebijak ebijakan an operasion operasional al dan pelapora pelaporan, n, perenca perencanaan naan,, prosedu prosedur, r, hukum, hukum, dan peratura peraturan n yang berlaku. . Mela Melak kukan ukan tinja tinjaua uan n meng mengen enai ai baga bagaim iman ana a aset aset dija dijaga ga,, dan dan mem! mem!er eri&k i&kas asii keberadaan keberadaan aset tersebut. . Mempel Mempelaja ajari ri sumber sumber daya perus perusaha ahaan an untuk untuk meneta menetapk pkan an seberap seberapa a efekti efektif f dan e&sien mereka digunakan. *. Mela Melak kukan ukan tinj tinjau auan an atas atas oper operas asio iona nall dan dan prog progra ram m peru perusa saha haan an,, untuk ntuk menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-tujuan mereka. . ( +ommittee on Basic uditing +oncepts. tatement of Basic uditing +oncepts (arasota. .$ merican ccounting ssociation. %/0). '.) Berb Berbag agai ai orga organi nisa sasi si sek sekaran arang g ini, ini, meng menggu guna nak kan I I terkompu terkomputeris terisasi asi untuk untuk memproses memproses,, menyimpa menyimpan, n, clan mengenda mengendalika likan n informa informasi si perusahaan. perusahaan. 1ntuk mencapai kelima tujuan yang telah disebutkan disebutkan di atas, seorang auditor auditor internal internal memiliki memiliki kuali&k kuali&kasi asi untuk untuk memeriksa memeriksa seluruh seluruh elemen elemen I yang terko terkompu mputer terisa isasi si dan dan mengg menggun unak akan an kompute omputerr seba sebagai gai alat alat untuk untuk mencap mencapai ai tujuan-tujuan audit tersebut. 2engan kata lain, keahlian komputer merupakan hal yang penting untuk melaksanakan audit internal.
Jenis-jenis Kegiatan Audit Audit Internal
3erdapat 3erdapat tiga jenis jenis audit yang yang biasanya dilakuk dilakukan, an, yaitu$ %. Audit memeriks ksa a keanda eandalan lan dan dan integr integrita itas s catata catatan-c n-cata atatan tan Audit Keuang Keuangan an memeri akuntansi (baik informasi keuangan dan operasional) dan menghubun menghubungka gkannya nnya dengan dengan standar standar pertama pertama dari kelima kelima standar standar lingku lingkup p audit internal. '. Audit Sistem Informasi melakukan tinjauan atas pengendalian I untuk menilai menilai kesesu kesesuaian aiannya nya dengan dengan kebijak kebijakan an dan prosedu prosedurr pengenda pengendalian lian serta efek efekti ti!i !ita tas s dala dalam m menj menjag aga a aset aset peru perusa saha haan an.. ing ingk kupny upnya a seca secara ra kasa kasarr berhubungan dengan standar kedua dan ketiga dari II.
.
berkaita itan n denga dengan n penggu pengguna naan an Audit Audit Operas Operasion ional al atau atau Manaj Manajem emen en berka secara secara ekono ekonomis mis dan e&sien e&sien sumber sumber daya, daya, serta pencapaian pencapaian sasaran sasaran dan tujuan tujuan yang yang telah telah diteta ditetapka pkan. n. ingku ingkupnya pnya berhub berhubunga ungan n dengan dengan standar standar keempat dan kelima.
Tinjauan Menyeluruh Proses Audit eluru eluruh h audit audit menggu menggunak nakan an urutan urutan kegiata egiatan n yang yang hampir hampir sama, hingga dapat dibagi ke dalam empat langkah$
Merencanaan Audit Mengumpulan !uti" Menge#aluasi !uti" dan Mengomuniasian hasil audit. 4am 4ambar bar 22-% menya enyaji jik kan tin tinjau jauan meny menyel elu uruh ruh pro proses audit udit,, deng denga an menspesi&kasikan menspesi&kasikan beberapa prosedur yang biasanya dilakukan untuk setiap tahap tersebut.
Merencanaan Audit. 3ujuan ujuan dari dari perenc perencana anaan an audit audit adalah adalah untuk untuk meneta menetapk pkan an menga mengapa, pa, bagaimana bagaimana,, kapan, kapan, dan oleh siapa audit akan akan dilaksan dilaksanaka akan. n. angkah angkah pertama dala dalam m per perenca encana naan an audi auditt adal adalah ah men menetap etapk kan ling lingk kup dan dan tuju tujuan an audi audit. t. +ontoh +ontohnya nya,, lingk lingkup up audit audit sebua sebuah h perus perusaha ahaan an terbuk terbuka a meluas meluas hingga hingga ke para para pemegang saham perusahaan dengan tujuan menge!aluasi kejujuran penyajian laporan keuangan. ebaliknya, audit internal mungkin memeriksa seluruh di!isi, depa depart rtem emen en tert terten entu tu,, atau atau sebu sebuah ah aplik aplikas asii kompu ompute terr. u udi ditt inte intern rnal al dapa dapatt berfoku berfokus. s. pada pengend pengendalia alian n internal, internal, informasi informasi keuang keuangan, an, kinerja kinerja operasio operasional, nal, atau beberapa kombinasi dari ketiga audit tersebut. ebua ebuah h tim audit audit yang yang memili memiliki ki penga pengalam laman an dan keahli eahlian an yang yang dibutuhk dibutuhkan an akan akan dibentuk. dibentuk. Para anggota anggota tim menjadi menjadi lebih dalam mengen mengenali ali pihak pihak yang yang diaud diaudit it (audit (auditee ee)) melalu melaluii dis disk kusi denga dengan n personil tingkat super!isor dan operasional, melakukan tinjauan atas dok dokumen umenta tasi si sist sistem em,, dan dan mela melak kukan ukan tinja tinjaua uan n atas atas pene penemu muan an-penemuan dalam audit terdahulu. 1ntuk mematangkan tahap perencanaan, sebuah program audit a"al dipersiap dipersiapka kan n untuk untuk menunjuk menunjukkan kan sifat, sifat, keluas keluasan, an, dan "aktu "aktu prosed prosedur ur-pr -prosed osedur ur yang dibutuhkan untuk mencapai tujuan audit dan untuk meminimalkan risikorisik risiko o audit. audit. uatu uatu angga anggara ran n "aktu "aktu dipers dipersiap iapka kan, n, dan para para anggot anggota a staf staf akan akan ditugaskan untuk melaksanakan langkah-langkah audit tertentu.
$esio dalam Audit pada Proses Perencanaan Audit. ebuah audit harus direncanakan sedemikian rupa agar sebagian sebagian besar besar kegiata kegiatan n audit audit berfok berfokus us pada area-ar area-area ea yang memiliki faktor-faktor risiko tertinggi. da tiga jenis risiko dalam melakukan audit, yaitu$
%.
$isio Inheren adalah toleransi atas risiko yang material dengan mempertimbangkan ketidakberadaan pengendalian. +ontohnya, sebuah system yang menerapkan pemrosesan on-line, jaringan, soft"are database, telekomunikasi,5 dan bentuk teknologi canggih lainnya, memiliki lebih banyak risiko inheren daripada suatu sistem pemrosesan batch yang tradisional. '. $isio Pengendalian adalah risiko yang timbul dari kesalahan penyajian yang material dan berdampak hingga ke struktur pengendalian internal serta ke laporan keuangan. ebuah.perusahaan yang memiliki pengendalian internal lemah memiliki lebih banyak risiko pengendalian daripada perusahaan dengan pengendalian internal yang kuat. 6isiko pengendalian dapat ditetapkan dengan cara melakukan tinjauan atas lingkungan pengendalian dan mempertimbangkan kelemahan pengendalian yang diidenti&kasi dalam audit terdahulu, dan dengan menge!aluasi bagaimana kelemahan-kelemahan tersebut telah diperbaiki. . $isio Pendetesian adalah risiko yang timbul akibat tidak dapat terdeteksinya sebuah kesalahan atau kesalahan penyajian oleh auditor dan prosedur audit yang dibuatnya.
Mengumpulan !uti Audit. ebagian besar usaha audit dihabiskan untuk mengumpulkan bukti. Berikut ini adalah metode-metode yang paling umum digunakan untuk mengumpulkan bukti audit$ Pengamatan atas !er!agai egiatan yang diaudit (contohnya, memperhatikan bagaimana cara para pega"ai memasuki lokasi komputer atau bagaimana personil pengendalian data menangani kegiatan pemrosesan data begitu data diterima), Melauan tinjauan atas doumentasi untuk memahami bagaimana suatu I atau sistem pengendalian internal berfungsi. %isusi dengan para pega&ai mengenai pekerjaan mereka dan bagaimana mereka melaksanakan beberapa prosedur tertentu. Kuesioner yang dapat mengumpulkan data mengenai sistem terkait. Pemerisaan 'si jumlah dan7atau kondisi aset ber"ujud seperti perlengkapan, persediaan, atau kas. Melauan on'rmasi atas ketepatan informasi tertentu, seperti saldo rekening pelanggan, melalui komunikasi dengan pihak ketiga yang independen. perhitungan tertentu untuk Melauan ulang prosedur pilihan mem!eri&kasi informasi kuantitatif dari beberapa catatan dan laporan (contohnya, auditor dapat menghitung kembali suatu total batch atau menghitung kembai beban depresiasi tahunan8. Pem!utian untuk mendapatkan !aliditas sebuah transaksi dengan cara memeriksa seluruh dokumen pendukungnya, seperti pesanan pembelian, laporan penerimaan, dan faktur penjualan dari pemasok yang mendukung transaksi utang usaha. Tinjauan analitis atas hubungan dan tren antar informasi untuk mendeteksi hal-hal yang harus diselidiki lebih lanjut (contohnya, seorang auditor untuk jaringan toko baju menemukan bah"a di salah satu toko, rasio piutang usaha terhadap penjualan sangat tinggi. ebuah penyelidikan mengungkap bah"a manajer toko tersebut telah mengalihkan uang dari hasil penagihan, untuk dipakai secara pribadi). 9leh karena banyak pengujian dan prosedur audit yang tidak layak untuk dilaksanakan . di seluruh rangkaian kegiatan, catatan, aset, atau dokumen yang
ditinjau, pengujian dan prosedur tersebut sering kali dilaksanakan dengan mengambil sampel. ebuah audit biasa umumnya akan menggunakan campuran berbagai prosedur. +ontohnya, suatu audit yang didesain untuk menge!aluasi pengendalian internal I akan menggunakan lebih banyak kegiatan pengamatan, tinjauan atas dokumentasi, diskusi dengan para pega"ai, dan pelaksanaan ulang prosedur pengendalian. uatu audit informasi keuangan akan berfokus pada pemeriksaan &sik, kon&rmasi, pembuktian, tinjauan analitis, dan pelaksanaan ulang proses perhitungan saldo rekening.
Prosedur Tam!ahan untu Mengumpulan (uti Audit.
yang
uditor menge!aluasi bukti yang dikumpulkan dengan dasar tujuan audit tertentu, dan memutuskan apakah bukti tersebut mendukung kesimpulan atau tidak. pabila kurang mendukung, auditor akan merencanakan dan melaksanakan prosedur tambahan sampai bukti cukup dapat dikumpulkan untuk membuat kesimpulan yang kuat.
Materialitas dan Kepastian dalam mengumpulan !uti Audit. Materialitas dan kepastian. yang "ajar merupakan hal yang penting ketika ingin memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk menge!aluasi bukti. 9leh karena kesalahan selalu ada pada sistem manapun, para auditor berfokus untuk mendeteksi dan melaporkan kesalahan-kesalahan yang memiliki dampak signi&kan pada interpretasl pihak manajemen atas penemuanpenemuan audit. Menetapkan materialitas, yaitu mengenai apa yang penting dan tidak penting berdasarkan suatu situasi, sebagian besar merupakan masalah penilaian. Materialitas secara umum lebih penting untuk audit eksternal, yang penekanan umumnya adalah kejujuran penyajian laporan keuangan, bukan untuk audit internal, yang berfokus untuk menetapkan tingkat kesesuaian dengan kebijakan manajemen. uditor mencari keyakinan yang "ajar bah"a tidak ada kesalahan yang material dalam informasi atau proses yang diaudit. 9leh karena sangat mahal untuk mencari kepastian yang lengkap, audit harus bersedia menerima sejumlah risiko bah"a kesimpulan audit tidak benar. Merupakan hal yang penting untuk disadari bah"a ketika risiko inheren atau pengendalian tinggi, auditor harus mendapatkan keyakinan yang lebih besar untuk mengimbangi ketidakpastian dan risiko yang lebih besar.
)aporan Temuan (uti. 2alam seluruh tahapan audit, penemuan dan kesimpulan dengan hati-hati didokumentasikan dalam lembar kerja audit. 2okumentasi sangatlah penting pada tahap e!aluasi untuk mencapai dan mendukung, kesimpulan akhir.
uditor mempersiapkan laporan tertulis (dan kadang-kadang lisan) yang meringkas penemuan-penemuan dan berbagai rekomendasi audit, dengan referensi bukti pendukung dalam lembar kerja. aporan ini disajikan kepada pihak manajemen, komite audit, de"an komisaris, dan pihak-pihak lain yang terkait. etelah hasil audit dikomunikasikan, para auditor sering kali melaksanakan penelitian lanjut untuk memastikan bah"a rekomendasi mereka telah diimplementasikan.
Pendeatan Audit (erdasaran $isio*The $is (ased Audit Approach+.
Pendekatan empat tahap berikut ini untuk e!aluasi pengendalian internal: disebut pula sebagai pendekatan audit berdasarkan risiko, dan memberikan kerangka logika untuk melaksanakan audit$ Tentuan ancaman-ancaman *esalahan dan etida!eraturan+ yang dihadapi I. Identi'asi prosedur pengendalian yang diimplementasian untuk meminimalkan setiap ancaman dengan mencegah afau mendeteksi kesalahan dan ketidak;beraturan. ,#aluasi prosedur pengendalian. Meninjau dokumentasi sistem dan "a"ancara dengan personil yang tepat untuk menetapkan apakah prosedur yang dibutuhkan ada atau tidak, disebut pula sebagai tinjauan sistem. #emudian, uji pengendalian dilaksanakan untuk menetapkan apakah prosedur-prosedur tersebut telah diikuti dengan baik. 1ji ini terdiri dari berbagai kegiatan seperti mengamati operasional sistem: memeriksa dokumen, catatan, dan laporan: memeriksa beberapa sampel input dan output sistem: serta menelusuri transaksi di sepanjang sistem. ,#aluasi elemahan *esalahan dan etida-!eraturan yang tida terungap oleh prosedur pengendalian+ untuk menetapkan pengaruhnya atas sifat, atau keluasan prosedur audit dan saran pada klien. angkah ini berfokus pada risiko pengendalian dan apakah sistem pengendalian secara keseluruhan menangani hal-hal tersebut atau tidak. pabila kekurangan pengendalian teridenti&kasi, auditor menanyakan tentang pengendalian pengimbang (compensating control), atau prosedur-prosedur yang
mengimbangi kekurangan tersebut. #elemahan pengendalian di sebuah area mungkin dapat diterima apabila kelemahan tersebut diimbangi dengan kelebihan pengendalian di area lainnya. Pendekatan berdasarkan risiko untuk audit memberikan para auditor pemahaman yang jelas atas kesalahan dan ketidak-beraturan terjadi dan risiko serta pajanan(e
yang dapat atas hal ini pada pihak seharusnya
Audit Sistem Informasi dan Tujuannya.
'. . . *.
=.
3ujuan audit sistem informasi adalah untuk meninjau dan menge!aluasi pengendalian internal yang melindungi sistem tersebut. #etika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi$ %. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modi&kasi, atau penghancuran. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen. Modi&kasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen. Pemrosesan transaksi, &le, laporan, dan catatan komputer lainnya telah akurat dan lengkap. 2ata sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidenti&kasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan. ile data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
4ambar 22-' melukiskan hubungan di antara keenam tujuan ini dengan komponen ; komponen sistem informasi. etiap tujuan tersebut didiskusikan secara lebih terinci dalam bagian berikut.
etiap deskripsi terdiri dari rencana untuk mencapai setiap tujuan di atas, dan juga teknik serta prosedur yang diperlukan untuk melaksanakan rencana audit tersebut.
Tujuan .-Audit Sistem Informasi Keamanan Keseluruhan.
#irimkan tugas
Tujuan ./-Audit Sistem Informasi Keamanan Keseluruhan.
3abel 22-% berisi kerangka untuk audit keamanan komputer. tabel tersebut menunjukkan hal-hal berikut ini$ Jenis esalahan dan penipuan eamanan yang dihadapi oleh perusahaan. >al ini mencakup kerusakan yang disengaja dan tidak disengaja atas aset sistem: akses tidak sah, pengungkapan atau modi&kasi data dan program: pencurian: serta interupsi atas kegiatan bisnis yang penting. Prosedur pengendalian untu meminimalan esalahan dan penipuan eamanan. >al ini mencakup mengembangkan rencana keamanan7perlindungan informasi dari !irus, mengimplementasikan &re"all, mengadakan pengend?lian atas pengiriman data, dan mencegah serta memulihkan diri dari kegagalan sistem atau bencana5 lainnya.
Prosedur audit tinjauan sistem. >al ini mencakup memeriksa lokasi komputer: melakukan "a"ancara dengan para personilnya: meninjau kebijakan dan prosedur: serta memeriksa daftar akses, kebijakan asuransi, dan rencana pemulihan dari bencana. Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan dengan cara mengamati prosedur, mem!eri&kasi bah"a terdapat pengendalian dan pengendalian tersebut berfungsi seperti dengan yang diharapkan, mengin!estigasi berbagai kesalahan atau masalah untuk memastikan mereka ditangani dengan benar, serta memeriksa berbagai uji yang sebelumnya telah dilaksanakan. +ontohnya, salah satu cara untuk menguji pengendalian akses logika adalah dengan mencoba melanggar masuk ke sistem. elama audit keamanan sebuah badan pemerintah merika erikat, para auditor menggunakan terminal; terminal badan tersebut untuk mendapatkan akses secara tidak sah ke sistem komputer mereka, mematikan prosedur pemeriksaan keamanannya, dan mengendalikan sistem tersebut dari terminal yang mereka pakai. #egagalan keamanan dapat terjadi karena kurangnya p@ngendalian administratif dan soft"are keamanan yang tidak memadai. Pengendalian pengim!ang. pabila pengendalian keamanan sangatlah tidak cukup, maka organisasi menghadapi risiko yang besar. #ebijakan personil yang baik dan pemisahan tugas secara efektif atas pekerjaan yang tidak boleh disatukan, dalam beberapa hal dapat mengimbangi keamanan komputer yang kurang tersebut. 9leh karena hampir tidak mungkin pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan keamanan komputer yang kurang baik, para auditor harus sangat merekomendasikan agar kelemahan keamanan tersebut diperbaiki.
Tujuan /. 0 Audit Sistem Informasi Pengem!angan dan Perolehan Program.
Tujuan /./ 0 Audit Sistem Informasi Pengem!angan dan Perolehan Program.
3abel 22-' memberikan kerangka untuk meninjau dan menge!aluasi proses pengembangan program. 2ua hal yang dapat salah dalam pengembangan program$ %. #esalahan yang tidak disengaja karena adanya kesalahpahaman atas spesi&kasi sistem atau kecerobohan pemrograman, dan '. Perintah tidak sah yang dengan sengaja dimasukkan ke dalam program. Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi yang memadai. Peran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan independen atas kegiatan pengembangan sistem: 1ntuk mempertahankan objekti!itas yang dibutuhkan dalam melaksanakan e!aluasi independen atas fungsi, para auditor harus tidak dilibatkan dalam pengembangan sistem. elama peninjauan sistem, para auditor harus mendapat pemahaman mengenai prosedur pengembangan dengan mendiskusikannya bersama pihak manajemen, pemakai sistem, dan para personil sistem informasi. Mereka juga harus meninjau kebijakan, prosedur, standar, dan dokumentasi yang tercantum pada 3abel 22-'. 1ntuk menguji pengendalian pengembangan sistem, para auditor harus me"a"ancarai para manajer dan pemakai sistem, memeriksa persetujuan pengembangan, dan meninjau notulen rapat tim pengembangan sistem. Para auditor harus meninjau secara keseluruhan semua dokumentasi yang
berhubungan dengan proses pengujian dan memastikan bah"a seluruh perubahan program telah diuji. uditor harus memeriksa spesi&kasi uji, meninjau data uji, dan mengeyaluasi hasil pengujian. pabila hasil pengujian tidak sesuai dengan harapan, maka auditor harus memastikan bagaimana masalah tersebut diatasi. Pengendalian pemrosesan yang kokoh (lihat tujuan ) kadangkala dapat mengimbangi pengendalian pengembangan yang kurang baik. pabila para auditor bergantung pada pengendalian pengimbang untuk pemrosesan, mereka harus mendapatkan bukti yang mendukung ketaatan terhadap sistem, dengan menggunakan berbagai teknik, pengujian data pemrosesan independen.
seperti
pabila bukti sejenis ini tidak bisa didapatkan, mereka dapat menyimpulkan bah"a terdapat kelemahan yang material dalam pengendalian internal, dan bah"a risiko kesalahan atau penipuan dalam program aplikasi terlalu tinggi hingga tidak dapat diterima.
Tujuan 1. 0 Audit Sistem Informasi Audit Modi'asi Program.
Tujuan 1./ 0 Audit Sistem Informasi Audit Modi'asi Program. 3abel 22- menyajikan kerangka untuk melakukan audit program aplikasi dan perubahan soft"are sistem. #esalahan dan penipuan yang terjadi dalam pengembangan program dapat juga terjadi selam modi&kasi program. +ontoh salah seorang programer ditugaskan untuk memodi&kasi sistem penggajian perusahaan, menyisipkan sebuah perintah untuk menghapus seluruh &le komputer apabila perintah pemberhentian dimasukkan ke dalam catatan penggajian dirinya. #etika programer tersebut dipecat, perintah pemberhentian yang dimasukkan ke dalam catatannya telah menyebabkan sistem tersebut bertabrakan dan menghapus &le-&le utama.
#etika sebuah perubahan program diserahkan untuk persetujuan, sebuah daftar halhal yang akan diperbarui harus disusun dan kemudian disetujui oleh pihak manajemen dan pemakai program. emua perubahan program harus diuji secara keseluruhan dan didokumentasikan. elama proses perubahan, !ersi pengembangan program harus tetap dipisahkan dari !ersi produksi program. etelah program yang dirubah telah mendapatkan persetujuan akhir, perubahan tersebut diimplementasikan dengan cara mengganti !ersi produksi dengan !ersi pengembangan. elama tinjauan sistem, auditor harus mendapatkan pemahaman atas proses perubahan melalui diskusi dengan manajemen dan personil yang menggunakan program tersebut. #ebijakan, Aprosedur dan standar untuk memberikan persetujuan, modi&kasi, pengujian, dan dokumentasi perubahan harus diperiksa. Bahan dokumentasi akhir yang lengkap untuk perubahan program yang terbaru, termasuk prosedur dan hasil uji, harus ditinjau. 3erakhir, auditor harus meninjau prosedur yang digunakan untuk membatasi akses logika ke !ersi pengembangan program tersebut. Bagian yang penting dari uji pengendalian yang dilaksanakan.seorang auditor adalah . mem!eri&kasi bah"a perubahan program telah diidenti&kasi, didaftar, disetujui, diuji, dan didokumentasikan. angkah ini mensyaratkan auditor untuk mengamati bagaimana perubahan diimplementasikan untuk mem!eri&kasi bah"a program pengembangan dan produksi yang terpisah tetap dilaksanakan, dan bah"a perubahan tersebut diimplementasikan oleh seseorang yang independen dari pemakai dan fungsi pemrograman. uditor harus meninjau tabel pengendalian akses program pengembangan untuk mem!eri&kasi bah"a hanya pemakai yang ditugaskan untuk melaksanakan modi&kasi, yang memiliki akses ke sistem.
1ntuk menguji keberadaan perubahan program secara tidak sah, para auditor dapat menggunakan program perbandingan kode. etelah auditor menguji sebuah program yang baru dikembangkan secara menyeluruh (tujuan '), mereka menyimpan sebuah salinan dari kode sumbernya. 2i kemudian hari, auditor dapat menggunakan program perbandingan untuk membandingkan !ersi terakhir program dengan kode sumber aslinya. pabila tidak ada perubahan yang diotorisasi, kedua !ersi ini seharusnya identik. 9leh sebab itu, perbedaan yang tidak sah akan berlanjut ke penyelidikan. pabila perbedaan tersebut menyajikan perubahan yang diotorisasi, auditor dapat merujuk pada spesi&kasi perubahan program untuk memastikan bah"a perubahan tersebut diotorisasi dan dengan tepat digabungkan.
Tujuan 1.1 0 Audit Sistem Informasi Audit Modi'asi Program. 3erdapat dua teknik tambahan untuk mendeteksi perubahan yang tidak sah. 3eknik pemrosesan ulang juga menggunakan salinan kode sumber yang telah di!eri&kasi. 3anpa pemberitahuan sebelumnya, auditor menggunakan program ini untuk memproses ulang data dan membandingkan outputnya dengan data perusahaan. Penyimpangan dari kedua pasang output tersebut akan diselidiki untuk memastikan penyebabnya. imulasi paralel hampir sama dengan teknik pemrosesan ulang, kecuali bah"a auditorlah yang menulis program, bukan menggunakan salinan kode sumber yang telah di!eri&kasi dan disimpan. >asil dari simulasi auditor akan dibandingkan dengan hasil milik perusahaan, dan perbedaan apapun akan diselidiki. imulasi paralel dapat digunakan untuk menguji sebuah program selama proses implementasi.
Tujuan 1.2 0 Audit Sistem Informasi Audit Modi'asi Program. Para auditor harus mengamati pengujian dan implementasi, meninjau otorisasi dan dokumen yang terkait, dan jika perlu, melaksanakan pengujian independen untuk setiap perubahan program yang besar. pabila langkah ini dile"ati dan pengendalian program kemudian ditemukan tidak memadai, maka tidak mungkin mengandalkan output program. ebagai tambahan, para auditor harus selalu menguji program tanpa pemberitahuan sebelumnya, sebagai tindakan pencegahan atas perubahan program secara tidak sah, yang disusupkan setelah pemeriksaan selesai dan kemudian disingkirkan tepat sebelum jad"al audit berikutnya. pabila pengendalian internal atas perubahan program kurang baik, maka pengendalian pengimbang seperti perbandingan kode sumber, keberadaan pengendalian pemrosesan yang baik, pengujian secara independen oleh auditor, dalam beberapa hal dapat mengimbangi kelemahan tersebut.
kan tetapi, jika kelemahan tersebut disebabkan karena pembatasan atas akses &le program yang tidak memadai, auditor harus sangat merekomendasikan tindakan untuk memperkuat pengendalian akses logika di organisasi tersebut.
Tujuan 2. 0 Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer
Tujuan 2./ 0 Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer
3abel 22- memberikan kerangka untuk melakukan audit pengendalian pemrosesan komputer. okus tujuan keempat adalah pemrosesan transaksi, &le, dan catatan komputer untuk memperbarui &le serta database, dan yang digunakan untuk menghasilkan laporan. 2alam pemrosesan komputer, sistem dapat saja gagal mendeteksi input yang salah, memperbaiki kesalahan input secara tidak tepat, memroses input yang salah, atau menyebarkan atau mengungkap output secara tidak benar. 3abel 22-
memperlihatkan prosedur pengendalian untuk mendeteksi dan mencegah kesalahan-kesalahan ini, meninjau sistem dan uji prosedur pengendalian yang dapat diterapkan auditor. 3ujuan dari prosedur audit ini adalah untuk mendapatkan pemahaman atas pengendalian, menge!aluasi kecukupannya, dan mengamati jalannya sebagai bukti bah"a pengendalian memang digunakan. Para auditor harus secara periodik menge!aluasi kembali pengendalian pemrosesan untuk memastikan kelangsungan keandalannya. pabila pengendalian pemrosesan tidak memuaskan, pengendalian pemakai dan data sumber mungkin cukup kuat untuk mengimbangi kelemahan tersebut. pabila tidak, maka terdapat kelemahan yang material sehingga tindakan harus diambil untuk menghilangkan kelemahan pengendalian tersebut. Beberapa teknik khusus memungkinkan auditor untuk menggunakan komputer dalam menguji pengendalian pemrosesan. 3eknik-teknik tersebut mencakup pemrosesan data uji, menggunakan teknik audit bersamaan, dan menganalisis logika program. etiap teknik tersebut memiliki kelebihan dan kelemahan masingmasing, yang berarti bah"a mereka mungkin lebih tepat di suatu situasi tetapi kurang tepat di situasi lainnya. 3idak ada satupun teknik yang cocok untuk semua keadaan. Para auditor seharusnya tidak mengungkapkan teknik apa yang mereka gunakan, karena hal ini dapat mengurangi efekti!itas pengujian audit.
Tujuan 2.1- Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer" Memproses %ata 3ji. Memproses %ata 3ji. alah satu cara untuk menguji program adalah dengan memproses serangkaian perkiraan (hypothetical) transaksi !alid dan tidak !alid. Program tersebut harus memproses seluruh transaksi yang !alid dengan benar dan mengidenti&kasi serta menolak transaksi yang tidak !alid. eluruh jalur logika harus diperiksa apakah berfungsi dengan baik atau tidak, melalui satu atau lebih uji transaksi. +ontoh-contoh data yang !alid adalah catatan dengan data yang hilang, &eld yang berisi jumlah yang tidak "ajar banyaknya, nomor rekening atau kode pemrosesan yang salah, data non-numeris dalam &eld numerik, serta catatan yang tidak berurutan. umber-sumber berikut ini dapat membantu untuk mempersiapkan data uji$ 2aftar transaksi yang sebenarnya 3ransaksi uji yang digunakan programer untuk menguji program tersebut Program pembuat data .uji (test data generator program), yang secara otomatis mempersipakan data uji berdasarkan spesi&kasi program 2i dalam sistem pemrosesan secara batch, program perusahaan dan salinan dari &le yang terkait digunakan untuk memproses data uji. >asilnya akan dibandingkan dengan output yang telah diperkirakan sebelumnya: penyimpangan menunjukkan kesalahan pemrosesan atau kurangnya pengendalian dan harus diselidiki secara keseluruhan. 2i dalam sistem on-line, para auditor memasukkan data uji dengan menggunakan alat untuk memasukkan data, seperti P+ atau terminal, dan mengamati serta mendaftar respons sistem. pabila sistem
menerima transaksi akan menelusuri menyelidiki kelemahannya.
yang salah atau tidak !alid, auditor kembali pengaruh transaksi tersebut, masalahnya, dan memperbaiki
Tujuan 2.2Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer" Kelemahan 3ji Transasi. Kelemahan 3ji Transasi. alaupun pemrosesan transaksi uji biasanya efektif, teknik tersebut memiliki beberapa kelemahan$ %. uditor harus menghabiskan banyak "aktu untuk mengembangkan pemahaman atas sistem yang diperiksanya dan mempersiapkan serangkaian transaksi uji yang memadai. '. Perhatian harus diberikan untuk memastikan bah"a data uji tidak mempengaruhi &le dan database perusahaan. uditor dapat menelusuri kembali (reser!e) pengaruh transaksi uji atau memproses transaksi tersebut dalam proses terpisah dertgan menggunakan salinan &le atau database terkait. kan tetapi, pemrosesan terpisah akan menghilangkan beberapa keotentikan yang didapat dari proses data uji, dengan transaksi rutin. elain itu, prosedur penelusuran kembali (re!ersal procedures) juga dapat mengungkapkan keberadaan dan sifat dari uji yang dilaksanakan auditor pada personil utama, sehingga menjadi kurang efektif dibanding uji yang tersembunyi.
Tujuan 2.4- Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer" Teni Audit (ersamaan Teni Audit (ersamaan. Cutaan dolar transaksi dapat diproses oleh sistem on-line tanpa meninggalkan jejak audit yang memuaskan. 2alam kasus semacam ini, bukti dikumpulkan setelah pemrosesan data dianggap tidak cukup untuk tujuan audit. ebagai tambahan, oleh karena banyak sistem on-line memproses transaksi seeara terus-menerus, merupakan hal yang sulit atau tidak mungkin untuk menghentikan sistem tersebut dan melaksanakan pengujian audit. Cadi, auditor menggunakan teknik audit bersamaan untuk secara terus-menerus menga"asi sistem dan mengumpulkan bukti audit sementara data langsung diproses selama jam kerja normal. 3eknik audit bersamaan menggunakan modul audit melekat (embedded audit module), yaitu bagian-bagian dari kode program yang melaksanakan fungi audit. Mereka juga melaporkan hasil pengujian ke auditor dan menyimpan bukti yang dikumpulkan untuk ditinjau oieh auditor. 3eknik audit bersamaan sangat memakan "aktu dan sulit digunakan, tetapi tidak akan terlalu sulit dilaksanakan apabila digabungkan ketika program sedang dikembangkan. 3erdapat *(lima) 3eknik udit Bersamaan, yaitu$ Integrated test facility *IT5+ Snapshot System control audit re#ie& 'le *S6A$5+ Audit hoos
6ontinuous and internittent simulation *6IS+
Tujuan 2.7- Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer" Integrated test facility *IT5+ Integrated test facility *IT5+ adalah teknik yang menempatkan serangkaian kecil catatan &ktif di &le utama. +atatan tersebut dapat saja me"akili bagian, departemen, atau kantor cabang, pelanggan, atau pemasok &ktif..Pemrosesan transaksi uji yang memperbarui catatan &ktif ini tidak akan mempengaruhi catatan asli. 9leh karena catatan &ktif dan yang sesungguhnya diproses bersamasama, para pega"ai perusahaan biasanya tetap tidak menyadari bah"a pengujian tersebut berjalan. istem tersebut harus membedakan catatan I3 dari catatan yang sesungguhnya, mengumpulkan informasi atas dampak transaksi uji, serta melaporkan hasilnya. uditor akan membandingkan pemrosesan dengan hasil yang diharapkan, untuk mem!eri&kasi bah"a sistem tersebut beserta pengendaliannya beroperasi dengan benar. 2alam pemrosesan seeara batch, teknik I3 meniadakan kebutuhan untuk melakukan penelusuran transaksi uji dan dengan mudah disembunyikan dari para pega"ai yang mengoperasikan sistem tersebut. I3 sangat sesuai untuk menguji sistem pemrosesan on;line, karena transaksi uji dapat dilakukan sesering mungkin, diproses bersama dengan transaksi yang sesungguhnya, dan ditelusuri melalui seluruh tahap pemrosesan. emua ini dapat dicapai tanpa mengganggu operasional pemrosesan yang normal: akan tetapi, perhatian harus diberikan untuk tidak menggabungkan catatan &ktif dengan yang sesungguhnya selama proses pelaporan.
Tujuan 2.8- Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer" S9APS:OT. 3eknik snapshot memeriksa cara transaksi diproses. 3ransaksi yang dipilih ditandai dengan kode khusus yang akan memicu proses snapshot. Modul-modul audit dalam program terkait mencatat transaksi-transaksi ini beserta dengan catatan &le utamanya, sebelum dan sesudah pemrosesan. 2ata snapshot dicatat dalam &le khusus dan ditinjau oleh auditor untuk man!eri&kasi bah"a selurh langkah pemrosesan telah dengan benar dilaksanakan.
Tujuan 2.;- Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer" System control audit re#ie& 'le *S6A$5+ System control audit re#ie& 'le *S6A$5+ menggunakan modul audit melekat untuk secara terus menerus menga"asi kegiatan transaksi dan mengumpulkan data atas transaksi yang menjadi tujuan audit. 2ata tersebut dicatat dalam &le +6 atau daftar audit (audit log).
3ransaksi-transaksi yang dicatat dalam &le daftar audit adalah yang melebihi batas nilai uang yang telah ditentukan, atau yang berisi penurunan nirai aset. ecara periodik, auditor akan menerima cetakan &le +6, memeriksa informasi tersebut untuk mengidenti&kasi transaksi yang meragukan, dan melaksanakan penyelidikan yang dibutuhkan.
Tujuan 2.<- Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer" Audit :oos. kegiatan audit yang Audit hoos adalah memberikan tanda atas transaksi yang mencurigakan. +ontohnya, para auditor internal di tate arm ife Insurance menyatakan bah"a sistem pemegang asuransi mereka sangat rentan terhadap penipuan setiap.kali seorang pemegang asuransi mengganti nama atau alamatnya, dan kemudian menarik dana dari asuransi tersebut. Pega"ai asuransi membuat sebuah sistem audit hooks untuk mengikuti catatan yang memiliki perubahan nama atau alamat. 2epartemen audit internal perusahaan tersebut kini akan diperingatkan apabila catatan yang diikuti tersebut berhubungan dengan penarikan dan dapat menyelidiki apakah transaksi tersebut merupakan penipuan. #etika audit hooks digunakan, auditor dapat diinformasikan mengenai transaksi yang mencurigakan begitu transaksi tersebut terjadi. Pendekatan ini, disebut sebagai peringatan real-time (realtime noti&cation), yang menunjukkan sebuah pesan di terminal auditor. Informasi tambahan mengenai penggunaan audit hooks di tate arm, termasuk bagaimana sebuah penipuan besar dideteksi, dijelaskan dalam okus 22-%.
Tujuan 2.=- Audit Sistem Informasi Audit Pengendalian Pemrosesan Komputer" 6ontinuous and intermittent simulation *6IS+ 6ontinuous and intermittent simulation *6IS+ melekatkan modul audit dalam sistem manajemen database. Modul +I memeriksa seluruh transaksi yang memperbarui 2BM dengan menggunakan kriteria yang hampir sarna dengan +6. pabila sebuah transaksi memiliki nilai untuk diaudit, modul tersebut akan secara independen memproses data (dalam cara yang hampir sarna dengan simulasi paralel), mencatat hasil-hasilnya, dan membandingkan hasilnya dengan yang didapat dari 2BM. pabila terjadi penyimpangan, rincian penyimpangan tersebut akan ditulis dalam daftar audit untuk penyelidikan selanjutnya. pabila ditemukan
penyimpangan yang serius, +I akan mencegah 2BM melaksanakan proses pembaruan data.
Analisis )ogia Program. pabila seorang auditor mencurigai bah"a sebuah program aplikasi berisi kode yang tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin diperlukan. Proses ini sangat memakan "aktu dan membutuhkan keahlian dalam hal bahasa pemrograman, sehingga langkah ini harus digunakan sebagai pilihan terakhir. 1ntuk melaksanakan analisis tersebut, auditor merujuk pada bagan alir sistem dan program, dokumentasi program, dan daftar kode sumber program. oft"are berikut dapat dipakai untuk membantu analisis ini$ Automated >o&charting program , yang menerjemahkan kode sumber program dan membuat bagan alir program berdasarkan kode tersebut. Automated decision ta!le program, yang rnembuat sebuah tabel keputusan yang me"akili logika program. Scanning routine, yang memeriksa suatu program atas terjadinya nama !ariabel tertentu atau kombinasi karakter lainnya. Mapping program, yang mengidenti&kasi kode program yang belum berfungsi. oft"are ini mengungkapkan kode program yang dimasukkan oleh programer yang tidak bertanggung ja"ab untuk menghapus seluruh &le komputer ketika dirinya diberhentikan, seperti yang dieontohkan pada.bagian sebelumnya. Program tracing, yang secara berurutan meneetak seluruh langkah program aplikasi (berdasar nomor baris atau nama paragraf) yang dijalankan selama operasional program. 2aftar ini bercampur dengan output yang normal sehingga auditor dapat mengamati urutan yang tepat atas suatu kegiatan yang tampak selama pengoperasian program. Penelusuran program membantu auditor untuk mendeteksi perintah program tidak sah, alur logika yang salah, dan kode program yang belum berfungsi.
Menggunaan Audit :oos di State 5arm )ife. *5ous %%-+ Menggunaan Audit :oos di State 5arm )ife. istem komputer di tate arm ife Insurance +ompany memiliki sebuah komputer induk di Bloomington, Illinois, dan '= komputer yang lebih kecil di kantor "ilayahnya. 2i berbagai kantor "ilayahnya, lebih dari %.*DD terminal dan P+ dipakai untuk I memperbarui hampir juta catatan pemegang asuransi di komputer induk. istem tersebut memproses lebih ,dari D juta transaksi per tahun. istem tersebut menelusuri dana pemegang asuransi yang bernilai lebih dari E=,0 miliar. istem on-line real-time ini memperbarui &le dan database begitu transaksi terjadi, jejak audit berupa kertas berkurang, .dan dokumen pendukung untuk perubahan atas catatan pemegang asuransi telah ditiadakan atau hanya dipertahankan sementara sebelum diproses. iapa pun yang memiliki akses dan pengetahuan aplikatif atas sistem tersebut, dapat berpotensi melakukan penipuan. Pega"ai internal audit memiliki tantangan untuk mengidenti&kasi transaksi asuransi ji"a yang memungkinkan terjadinya penipuan$ 1ntuk melakukan tugas ini, para auditor internal membahas berbagai cara untuk menipu sistem tersebut dan me"a"ancarai berbagai pemakai sistem yang dapat memberikan pandangan yang sangat berharga.
Para auditor kini memiliki audit hooks melekat yang menga"asi /' jenis transaksi. alah satu audit hooks menga"asi transaksi tidak normal dalam rekening transfer, yang akan melakukan kliring atas dana yang sementara ditahan untuk dikreditkan ke beberapa rekening. udit hooks tersebut berfungsi dengan sangat baik. alah seorang pega"ai mendapatkan uang dengan memproses sebuah pinjaman atas polis asuransi saudara laki-lakinya secara tidak sah. 2ia kemudian memalsukan tanda tangan saudara laki-lakinya dan menguangkan cek tersebut. 1ntuk menutupi penipuan tersebut, dia harus membayar kembali pinjaman tersebut sebelum laporan status tahunan dikirim ke saudara laki-lakinya. 1ntuk melakukan hal tersebut, dia menggunakan serangkaian transaksi &ktif yang melibatkan sebuah rekening transfer. Penipuan tersebut terungkap segera ketika audit hooks rekening transfer tersebut mengenali transaksi &ktif pertama dan memperingatkan auditor. 2alam "aktu sebulan setelah peringatan tersebut, kasus tersebut diselidiki dan pega"ai tersebut diberhentikan. (umber$ inda Marie einicke, . Ma< 6e
Tujuan 4. 0 Audit Sistem Informasi Audit Pengendalian %ata Sum!er.
Tujuan 4./ 0 Audit Sistem Informasi Audit Pengendalian %ata Sum!er.
3abel 22-* memperlihatkan pengendalian internal yang mencegah, mendeteksi, dan memperbaiki data sumber yang salah atau tidak akurat. 3abel tersebut juga memperlihatkan tinjauan sistem dan prosedur uji pengendalian yang dapat digunakan auditor untuk melakukan e!aluasi. 2alam sistem on-line, entri dan fungsi pemrosesan data sumber merupakan satu kesatuan operasi. 9leh sebab itu, pengendalian data sumber seperti otorisasi yang memadai dan edit input data, diintegrasikan dengan pengendalian pemrosesan. Para auditor menggunakan matriks pengendalian input, seperti yang ditunjukkan dalam 4ambar 22@, untuk mendokumentasikan tinjauan atas pengendalian data sumber. Matriks tersebut memperlihatkan prosedur pengendalian yang diterapkan ke setiap &eld dalam catatan input.
Para
auditor harus memastikan bah"a fungsi pengendalian data independen dari fungsi lainnya, memelihara daftar pengendalian data, menangani kesalahan dan memastikan e&siensi umum operasinya. Biasanya tidak layak secara ekonomi bagi perusahaan kecil dan instalasi P+ untuk memiliki fungsi pengendalian data yang independen. 1ntuk mengimbanginya, pengendalian departemen pemakai harus lebih kuat dalam hal persiapan data, pengendalian jumlah total batch, program edit, pembatasan atas akses secara &sik dan logika ke sistem, dan prosedur penanganan.kesalahan. Prosedur-prosedur ini harus menjadi fokus tinjauan sistem dan uji pengendalian auditor, ketika tidak didapati adanya fungsi pengendalian data yang independen. alaupun pengendalian data sumber bisa saja tidak sering berubah, batasan penerannya berubah-ubah. 9leh sebab itu, auditor harus mengujinya secara teratur. uditor harus menguji sistem dengan cara menge!aluasi beberapa sampel data sumber untuk melihat ada tidaknya otorisasi yang memadai. ebuah sampel pengendalian batch harus direkonsiliasi. ebuah sampel kesalahan edit data harus die!aluasi untuk memeriksa bah"a kesalahan tersebut telah diselesaikan dan diserahkan dikembalikan ke dalam sistem. pabila data sumber tidak memadai, pengendalian departemen pemakai dan pemrosesan komputer dapat menjadi pengimbang. pabila tidak, maka auditor harus sangat merekomendasikan Hlangkah-langkah untuk memperbaiki kelemahan pengendalian data sumber.
Tujuan-7. 0 Audit Sistem Informasi Audit Pengendalian 5ile %ata.
Tujuan-7./ 0 Audit Sistem Informasi Audit Pengendalian 5ile %ata. 3ujuan keenam meliputi akurasi, integritas, dan keamanan data yang disimpan dalam &le yang dapat dibaca oleh mesin. 6isiko penyimpanan data mencakup
modi&kasi tidak sah, penghancuran, atau pengungkapan data. pabila pengendalian &le sangat lemah, terutama dalam kaitannya dengan akses &sik atau logika atau dengan prosedur salinan cadangan dan pemulihan &le, maka auditor harus sangat merekomendasikan perbaikan atas kelemahan-kelemahan tersebut.
3abel 22-= meringkas kesalahan, pengendalian, dan prosedur audit untuk tujuan ini. Pendekatan audit berdasarkan tujuan (auditing-by-objecti!e approach) merupakan alat yang komprehensif, sistematis, dan efektif untuk menge!aluasi pengendalian internal di dalam sebuah I. >al ini dapat diimplementasikan dengan menggunakan daftar prosedur audit untuk setiap tujuan. 2aftar tersebut harus membantu auditor untuk membuat kesimpulan terpisah bagi setiap tujuan, dan menyarankan pengendalian pengimbangnya ketika sebuah tujuan tidak dapat dicapai secara penuh. ersi terpisah dari daftar tersebut harus dilengkapi untuk setiap aplikasi yang signi&kan.
Para auditor harus meninjau desain sistem ketika masih terdapat "aktu untuk mengimplementasikan saran-saran mereka atas pengendalian dan &tur audit. 3eknik;teknik seperti I3, snapshot, +6, audit hooks dan peringatan secara real-time harus digabungkan ke dalam sebuah sistem selama masa proses desain, bukan sesudahnya. 2engan pemikiran yang hampir sarna, kebanyakan teknik pengendalian aplikasi lebih mudah untuk didesain masuk ke dalam sistem daripada ditambahkan ketnudian setelah sistem tersebut dikembangkan.
Soft&are Komputer untu Audit Sistem Informasi !er!asis Komputer. Beberapa program komputer, yang disebut computer audit soft"are (+) atau generaliJed audit soft"are (4) telah dibuat secara khusus untuk auditor. Program tersebut tersedia di pemasok soft"are dan kantor akuntan publik besar. Pada dasarnya, + adalah program komputer yang, berdasarkan spesi&kasi dari auditor, menghasilkan program yang melaksanakan fungsi-fungsi audit. + idealnya sesuai untuk pemeriksaan &le data yang besar, untuk mengidenti&kasi catatan-catatan yang membutuhkan pemeriksaaan audit lebih lanjut. +ontohnya, okus 22-' menggambarkan bagaimana pemerintah merika erikat menggunakan + untuk memerangi-de&sit anggaran negara. 3abel 22-0 berisi sebuah daftar fungsi-fungsi + dengan satu atau lebih contoh audit untuk setiap fungsi tersebut.
Penggunaan 6AS dalam Audit Sistem Informasi.
audit,
4ambar 22- memperlihatkan bagaimana + digunakan. angkah pertama auditor adalah memutuskan tujuan-tujuan mempelajari &le serta database yang akan diaudit, mendesain laporan audit, dan menetapkan bagaimana cara menghasilkannya. Informasi ini akan dicatat dalam lembar spesi&kasi dan dimasukkan ke dalam sistem melalui program input data.
Program ini membuat catatan spesi&kasi yang digunakan + untuk menghasilkan satu atau lebih program audit. Program audit memproses ≤&le sumber dan melaksanakan operasional audit yang dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan. ering kali, aplikasi a"al + pada komputer dilaksanakan untuk mengekstraksi informasi utama audit dan menempatkannya di dalam &le kerja audit. aporan dan analisis audit tambahan dihasilkan oleh serangkaian urutan operasi komputer yang menggunakan &le kerja audit sebagai inputnya.
Ilustrasi 9ilai Soft&are Audit dalam Audit Sistem Informasi. #asus berikut ini mengilustrasikan nilai soft"are audit. 2i dalam sebuah kota kecil di Ke" Lngland, seorang penagih pajak baru saja dipilih dengan mengalahkan orang yang sebelumnya memegang jabatan yang sarna. Penagih pajak yang baru tersebut meminta diadakannya audit atas catatan penagihan pajak kota tersebut.
2engan menggunakan +, auditor yang ditunjuk mengakses catatan penagihan pajak untuk tahun terakhir, . menyortirnya berdasarkan tanggal penagihan, menambahkan jumlah total pajak yang dikumpulkan bulanan, serta mempersiapkan laporan ringkasan tahun atas penagihan pajak bulanan tersebut. nalisis auditor mengungkapkan bah"a penagihan pajak selama bulan Canuari hingga Culi, dua bulan tersibuk dalam setahun, telah menurun sebanyak * persen dan 0' persen, secara spesi&k. uditor menggunakan + untuk membandingkan catatan-catatan penagihan pajak satu per satu, dengan catatan-catatan properti kota. aporan selanjutnya mengidenti&kasi beberapa penyimpangan, termasuk suatu kasus yang menyebutkan penagih pajak sebelumnya menggunakan pembayaran dari pembayar pajak lainnya untuk menutupi tunggakan tagihan pajak dirinya sendiri. Penagih pajak yang sebelumnya ditahan dan dituntut dengan tuduhan penggelapan. 3ujuan utama dari + adalah untuk membantu auditor dalam melakukan tinjauan serta menarik informasi dari berbagai &le komputer. #etika auditor menerima laporan dari +, sebagian besar kegiatan audit akan tetap harus dilaksanakan. >al-hal yang termasuk dalam laporan pengecualian harus diselidiki, jumlah total &le harus di!eri&kasi dengan sumber informasi lainnya, seperti buku besar, dan sampel-sampel audit harus diselidiki serta die!aluasi. alaupun kelebihan menggunakan + sangat banyak dan dapat dipereaya, + tidak dapat menggantikan penilaian auditor atau membebaskan auditor dari tahap-tahap audit lainnya.
Memerangi %e'sit Anggaran 9egara dengan Soft&are Audit. 5ous %%-/ Memerangi %e'sit Anggaran 9egara dengan Soft&are Audit. Pemerintah merika erikat menemukan bah"a soft"are audit komputer adalah alat yang berharga dalam usaha mereka untuk mengurangi de&sit anggaran pemerintah dalam jumlah besar. +ontohnya, soft"are yang digunakan untuk mengidenti&kasi penipuan klaim asuransi Medicare dan menunjukkan dengan tepat tagihan-tagihan berlebih yang dilakukan oleh para kontraktor 2epartemen Pertahanan. uatu audit komputer yang dilaksanakan oleh 4eneral ccounting 9Nce (49) memeriksa silang berbagai angka dengan I6 dan menemukan bah"a ribuan !eteran perang berbohong mengenai penghasilan mereka agar dapat memenuhi kuali&kasi untuk kompensasi pensiun. udit tersebut mengungkapkan bah"a %%=.DDD !eteran yang menerima pensiun berdasarkan kebutuhan mereka, tidak mengungkapkan E juta penghasilan dari tabungan, di!iden saham, atau se"a. ebih dari %.=DD !eteran mengurangi penghasilan mereka di laporan, bahkan salah seorang dari mereka tidak melaporkan . penghasilannya sejumlah lebih dari EDD.DDD. ebelum pemeriksaan dengan komputer diadakan, eteran dministration () bergantung pada para !eteran untuk memberikan laporan penghasilan yang akurat. Begitu memperingatkan para penerima kompensasi bah"a penghasilan mereka akan di!eri&kasi oleh I6 dan ocial ecurity dministration, kompensasi pensiun turun sebanyak lebih dari %.DDD orang, dengan penghematan sebesar E/ juta per bulan, berdasarkan laporan 49. berencana menggunakan sistem yang sarna untuk memeriksa tingkat penghasilan mereka yang mengajukan aplikasi untuk asuransi kesehatan. pabila
penghasilan mereka ditemukan di atas suatu le!el tertentu, pasien-pasien tersebut akan diminta untuk melakukan pembayaran bersama (co-payment).
5ungsi-fungsi 3mum Soft&are Audit Komputer.
Audit Operasional atas suatu SI.
Berbagai teknik dan prosedur yang digunakan dalam audit operasional hampir sarna dengan yang diterapkan dalam audit sistem informasi dan keuangan. Perbedaan utamanya adalah bah"a lingkup audit sistem informasi dibatasi pada pengendalian internal, sementara lingkup audit keuangan dibatasi pada output sistem. ebaliknya, lingkup audit operasional lebih luas, melintasi seluruh aspek manajemen sistem informasi. ebagai tambahan, tujuan audit operasional mencakup faktor-faktor seperti efekti!itas, e&siensi, dan pencapaian tujuian. . angkah pertama dalam audit operasional adalah perencanaan audit, yaitu masa pembuatan lingkup dan tujuan audit, tinjauan a"al atas sistem dilakukan, dan program audit sementara dipersiapkan.
Pengumpulan (uti Audit pada Audit Operasional atas Sistem Informasi. Pengumpulan bukti mencakup kegiatan-kegiatan berikut ini$ Meninjau kebijakan dokumentasi operasional Melakukan kon&rmasi atas prosedur dengan pihak manajemen serta personil operasional Mengamati fungsi-fungsi dan kegiatan operasional Memeriksa rencana dan laporan keuangan serta operasional Menguji akurasi imormasi operasional Menguji pengendalian Pada tahap pengumpulan bukti, auditor mengukur sistem yang sesungguhnya dengan sistem yang ideal, yaitu sistem yang mengikuti prinsip-prinsip terbaik dari manajemen sistem. alah satu pertimbangan yang penting adalah hasil-hasil dari kebijakan serta praktik manajemen lebih signi&kan dari kebijakan dan praktik mereka sendiri. Cadi, .apabila hasil yang baik dicapai melalui kebijakan dan praktik yang secara teori lemah, maka auditor harus secara hati-hati mempertimbangkan apakah perbaikan yang direkomendasikan akan secara substansial memperbaiki hasil. 2alam banyak kejadian, auditor harus secara menyeluruh mendokumentasikan penemuanpenemuan dan kesimpulan-kesimpulan tersebut, serta mengkomunikasikan hasil audit ke pihak manajemen.
Keahlian yang di!utuhan untu menjadi Auditor Operasional. Menjadi auditor operasional yang baik membutuhkan suatu pengalaman dalam bidang manajemen. Mereka yang memiliki latar belakang audit yang kuat tetapi lemah dari sisi pengalaman dalam bidang manajemen, sering kali kurang memiliki perspektif yang dibutuhkan untuk memahami proses manajemen.
