Post on 19-Jan-2023
BAB 1
Auditing dan Sistem Informasi
1.1 Pengantar
Perkembangan sistem informasi yang digunakan oleh klien
berdampak dengan keahlian yang harus dikuasai oleh auditor
yang semula pendekatan yang dilakukan dengan cara manual
maka dengan perubahan tersebut auditor dituntut untuk
menguasai proses sistem informasi yang dipakai klien dan
Teknik Audit Berbantuan Komputer (TABK) dengan menyesuaikan
proses audit dan prosedur yang digunakan pada saat
melaksanakan pekerjaan lapangan misalnya perubahan
lingkungan sistem akuntansi yang manual menjadi sistem
informasi akuntansi berbasis komputer menyebabkan auditor
harus mempelajari karaktristik lingkungan sistem tersebut.
Agar pelaksanaan auditing dapat berjalan dengan efektif dan
efisien, auditor sudah seharusnya menyesuaikan teknik-teknik
auditnya dengan sistem informasi klien.
Untuk memperoleh pemahaman tentang efinisi audit, type-type
audit, jenis-jenis auditor, pengetahuan sistem, informasi,
berikut akan dibahas secara rinci.
1.2. Definisi Audit
1
Ada beberapa definisi audit yang diberikan oleh
beberapa ahli di bidang akuntansi, antara lain:
Menurut Alvin A.Arens dan James K.Loebbecke :
“Auditing is the accumulation and evaluation of evidence about information
to determine and report on the degree of correspondence between the
information and established criteria. Auditing should be done by a
competent independent person”.
Menurut Mulyadi :
“Suatu proses sistematik untuk memperoleh dan
mengevaluasi bukti secara obyektif mengenai pernyataan-
pernyataan tentang kegiatan dan kejadian ekonomi, dengan
tujuan untuk menetapkan tingkat kesesuaian antara
pernyataan-pernyataan tersebut dengan kriteria yang
telah ditetapkan, serta penyampaian hasil-hasilnya
kepada pemakai yang berkepentingan”.
Dalam melaksanakan audit faktor-faktor berikut harus
diperhatikan:
1. Dibutuhkan informasi yang dapat diukur dan sejumlah
kriteria (standar) yang dapat digunakan sebagai panduan
untuk mengevaluasi informasi tersebut,
2. Penetapan entitas ekonomi dan periode waktu yang
diaudit harus jelas untuk menentukan lingkup
tanggungjawab auditor,
2
3. Bahan bukti harus diperoleh dalam jumlah dan kualitas
yang cukup untuk memenuhi tujuan audit,
4. Kemampuan auditor memahami kriteria yang digunakan
serta sikap independen dalam mengumpulkan bahan bukti
yang diperlukan untuk mendukung kesimpulan yang akan
diambilnya.
1.3. Tipe-tipe Audit
Audit pada umumnya dibagi menjadi tiga golongan,
yaitu : audit laporan keuangan, audit kepatuhan, dan audit
operasional.
1. Audit laporan keuangan (financial statement audit). Audit
laporan keuangan adalah audit yang dilakukan oleh
auditor eksternal maupun internal terhadap laporan
keuangan auditee untuk memberikan pendapat apakah
laporan keuangan tersebut disajikan sesuai dengan
kriteria-kriteria yang telah ditetapkan. Hasil audit
lalu dibagikan kepada pihak luar perusahaan seperti
kreditor, pemegang saham, dan kantor pelayanan pajak.
2. Audit kepatuhan (compliance audit). Audit ini bertujuan
untuk menentukan apakah yang diperiksa sesuai dengan
kondisi, peratuan, dan undang-undang tertentu.
Kriteria-kriteria yang ditetapkan dalam audit kepatuhan
berasal dari sumber-sumber yang berbeda. Contohnya ia
3
mungkin bersumber dari manajemen dalam bentuk prosedur-
prosedur pengendalian internal. Audit kepatuhan dapat
dilakukan oleh auditor internal maupun eksternal.
3. Audit operasional (operational audit). Audit operasional
merupakan penelahaan secara sistematik aktivitas
operasi organisasi dalam hubungannya dengan tujuan
tertentu. Dalam audit operasional, auditor diharapkan
melakukan pengamatan yang obyektif dan analisis yang
komprehensif terhadap operasional-operasional tertentu.
Tujuan audit operasional adalah untuk :
1. Menilai kinerja, kinerja dibandingkan dengan
kebijakan-kebijakan, standar-standar, dan sasaran-
sasaran yang ditetapkan oleh manajemen
2. Mengidentifikasikan peluang dan
3. Memberikan rekomendasi untuk perbaikan atau tindakan
lebih lanjut. Pihak-pihak yang mungkin meminta
dilakukannya audit operasional adalah manajemen dan
pihak ketiga. Hasil audit operasional diserahkan
kepada pihak yang meminta dilaksanakannya audit
tersebut.
1.4. Jenis-jenis Auditor
4
Auditor biasanya diklasifikasikan dalam dua kategori
berdasarkan siapa yang mempekerjakan mereka, yaitu : Auditor
eksternal, dan auditor internal,
1. Auditor eksternal. Audit eksternal merupakan pihak luar
yang bukan merupakan karyawan perusahaan, berkedudukan
independen dan tidak memihak baik terhadap auditeenya
maupun terhadap pihak-pihak yang berkepentingan dengan
auditeenya (pengguna laporan keuangan). Auditor
eksternal dapat melakukan setiap jenis audit.
2. Auditor Internal. Auditor internal adalah pegawai dari
perusahaan yang diaudit, auditor ini melibatkan diri
dalam suatu kegiatan penilaian independen dalam
lingkungan perusahaan sebagai suatu bentuk jasa bagi
perusahaaan.. Fungsi dasar dari Internal Audit adalah
suatu penilaian, yang dilakukan oleh pegawai perusahaan
yang terlatih mengenai ketelitian, dapat dipercayainya,
efisiensi, dan kegunaan catatan-catatan (akutansi)
perusahaan, serta pengendalian intern yang terdapat
dalam perusahaan. Tujuannya adalah untuk membantu
pimpinan perusahaan (manajemen) dalam melaksanakan
tanggungjawabnya dengan memberikan analisa, penilaian,
saran, dan komentar mengenai kegiatan yang di audit.
Untuk mencapai tujuan tersebut, internal auditor
melakukan kegiatan–kegiatan berikut:
Menelaah dan menilai kebaikan, memadai tidaknya dan
penerapan sistem pengendalian manajemen, struktur
5
pengendalian intern, dan pengendalian operasional
lainnya serta mengembangkan pengendalian yang
efektif dengan biaya yang tidak terlalu mahal,
Memastikan ketaatan terhadap kebijakan, rencana dan
prosedurprosedur yang telah ditetapkan oleh
manajemen
Memastikan seberapa jauh harta perusahaan
dipertanggungjawabkan dan dilindungi dari
kemungkinan terjadinya segala bentuk pencurian,
kecurangan dan penyalahgunaan
Memastikan bahwa pengelolaan data yang dikembangkan
dalam organisasi dapat dipercaya
Menilai mutu pekerjaan setiap bagian dalam
melaksanakan tugas yang diberikan oleh manajemen
Menyarankan perbaikan-perbaikan operasional dalam
rangka meningkatkan efisensi dan efektifitas
Dari kegiatan-kegiatan yang dilakukannya tersebut dapat
disimpulkan bahwa internal auditor antara lain memiliki
peranan dalam :
Pencegahan Kecurangan (Fraud Prevention),
Pendeteksian Kecurangan (Fraud Detection), dan
Penginvestigasian Kecurangan (Fraud Investigation).
6
1.5. Pengertian sistem
Sistem adalah suatu kesatuan yang terdiri dari dua atau
lebih komponen atau subsistem yang berinteraksi untuk
mencapai suatu tujuan (Barry E. Cushing, 1974).
Sistem adalah suatu grup dari elemen-elemen baik
berbentuk fisik maupun bukan fisik yang menunjukan suatu
kumpulan saling berhubungan di antaranya dan berinteraksi
bersama-sama menuju satu atau lebih tujuan, sasaran atau
akhir dari sistem (M. J Alexander, 1974).
Stephen A. Moscove dan Mark G (1984) mendefinisikan
sistem sebagai berikut: Sistem adalah suatu kesatuan yang
terdiri dari dari interaksi subsistem yang berusaha untuk
mencapai tujuan yang sama.
Menurut O’Brien, sistem merupakan sekumpulan komponen-
komponen yang saling berhubungan dan bekerja sama untuk
mencapai tujuan bersama, dengan menerima masukan dan
menghasilkan pengeluaran melalui proses transformasi yang
terorganisir.
Menurut Mathiassen, system adalah sekumpulan komponen
yang mengimplementasikan kebutuhan pemodelan fungsi dan
antar muka.
Dari definisi-definisi diatas dapat ditarik kesimpulan
bahwa sistem adalah kumpulan dari komponen-komponen atau
subsistem-subsistem yang saling berinteraksi dan berhubungan
membentuk satu kesatuan untuk mencapai tujuan atau sasaran
7
sistem tersebut. Misalnya, sistem akuntansi dapat terdiri
dari beberapa susbsistem-subsistem, yaitu subsistem
akuntansi penjualan, subsistem akuntansi pembelian,
subsistem akuntansi penggajian, subsistem akuntansi biaya
dan sebagainya. Bahkan sistem akuntansi itu sendiri
merupakan subsistem dari sistem yang lebih besar.
1.6. Pengertian Informasi
Menurut Kenneth C. Laudon dan Jane Price Laudon (1999),
informasi adalah data yang telah dibentuk menjadi suatu
bentuk yang mempunyai arti dan bermanfaat bagi umat manusia.
Menurut John Burch dan Gary Grudnitski (1986),
informasi adalah data yang telah diletakan dalam konteks
yang lebih berarti dan berguna yang dikomunikasikan kepada
penerima untuk digunakan di dalam pembuatan keputusan.
Menurut O’Brien, informasi adalah adata yang telah
diubah ke dalam sebuah bentuk yang mempunyai arti dan
berguna bagi pemakai tertentu atau khusus.
Menurut Mcleod, informasi adalah data yang telah
diproses sehingga menjadi data yang mempunyai arti dan
berguna bagi pemakainya.
Dari beberapa definisi tersebut dapat disimpulkan bahwa
informasi (Jogiyanto 1999) adalah:
1. data yang diolah
8
2. menjadi bentuk yang lebih berguna (relevan, akurat,
dan tepat waktu) dan lebih berarti bagi yang
menerimanya.
3. menggambarkan suatu kejadian-kejadian (event) dan suatu
kesatuan yang nyata (fact dan entity).
4. digunakan untuk pengambilan keputusan.
Sumber dari informasi adalah data. Data merupakan
kenyataan yang menggambarkan suatu kejadian-kejadian dan
kesatuan nyata. Data merupakan bentuk yang masih mentah yang
perlu diolah lebih lanjut melalui suatu model untuk
dihasilkan informasi. Kemudian dari informasi tersebut
digunakan untuk membuat keputusan dan melakukan tindakan.
Kejadian-kejadian (event) adalah sesuatu yang terjadi pada
saat yang tertentu. Kesatuan (fact dan entity) adalah berupa
suatu obyek nyata seperti tempat, benda dan orang yang
betul-betul ada dan terjadi.
1.7. Pengertian Sistem Informasi
Menurut James B. Bower, Robert E. Schlosser dan Maurice
S. Newman (1985): suatu sistem informasi adalah suatu cara
yang sudah tertentu untuk menyediakan informasi yang
dibutuhkan oleh organisasi untuk beroperasi dengan cara yang
sukses dan untuk organisasi bisnis dengan cara yang
menguntungkan.
9
Sedangkan menurut John F. Nash dan Martin B. Roberts
(1984): suatu sistem informasi adalah suatu kombinasi dari
orang-orang, fasilitas, teknologi, media, prosedur-prosedur
dan pengendalian yang ditujukan untuk mendapatkan jalur
komunikasi penting, memproses tipe transaksi rutin tertentu,
memberi sinyal kepada manajemen dan yang lainnya terhadap
kejadian-kejadian internal dan ekstenal yang penting dan
menyediakan suatu dasar untuk pengambilan keputusan yang
cerdik.
1.8. Pengertian Teknologi Informasi
Teknologi Informasi adalah suatu hardware (perangkat
keras) dan software (perangkat lunak) yang digunakan oleh
sistem informasi, hardware atau perangkat keras merupakan
peralatan fisik yang terlibat dalam pemrosesan informasi
seperti computer, workstation, peralatan jaringan, tempat
penyimpanan data serta peralatan transmisi. Software adalah
program computer yang menginterpretasikan apa yang harus
dilakukan.
Teknologi Informasi adalah teknologi computer untuk
memproses dan menyimpan informasi, sama baiknya dengan
teknologi komunikasi untuk transmisi informasi
1.9. Audit SI
10
Audit sebuah system teknologi informasi untuk saat ini
adalah sebuah keharusan. Audit perlu dilakukan agar sebuat
system mampu memenuhi syarat IT Governance. Audit system
informasi adalah cara untuk melakukan pengujian terhadap
system informasi yang ada di dalam organisasi untuk
mengetahui apakah system informasi yang dimiliki telah
sesuai dengan visi, misi dan tujuan organisasi, menguji
performa system informasi dan untuk mendeteksi resiko-resiko
dan efek potensial yang mungkin timbul.
Metodologi Audit IT
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-
bukti yang memadai melalui berbagai teknik termasuk survey,
wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh
auditor biasanya mencakup pula bukti elektronis. Biasanya,
auditor TI menerapkan teknik audit berbantuan computer,
disebut juga dengan CAAT (Computer Aided Auditing
Technique). Teknik ini digunakan untuk menganalisa data,
11
misalnya saja data transaksi penjualan, pembelian,
transaksi aktivitas persediaan, aktivitas nasabah, dan lain-
lain.
Langkah dasar Audit SI
Audit dalam konteks teknologi informasi adalah
memeriksa apakah sistem komputer berjalan semestinya. Tujuh
langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis
manajemen risiko serta control practice yang dapat
disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan,
serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta
yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen
risiko serta control practice.
Sebelum menjalankan proses audit, tentu saja proses
audit harus direncanakan terlebih dahulu. Audit planning
(perencanaan audit) harus secara jelas menerangkan tujuan
12
audit, kewenangan auditor, adanya persetujuan managemen
tinggi, dan metode audit. Metodologi audit:
1. Audit subject. Menentukan apa yang akan diaudit.
2. Audit objective. Menentukan tujuan dari audit.
3. Audit Scope. Menentukan sistem, fungsi, dan bagian
dari organisasi yang secara spesifik/khusus akan
diaudit.
4. Preaudit Planning. Mengidentifikasi sumber daya dan
SDM yang dibutuhkan, menentukan dokumen-dokumen
apa yang diperlukan untuk menunjang audit,
menentukan lokasi audit.
5. Audit procedures and steps for data gathering. Menentukan
cara melakukan audit untuk memeriksa dan menguji
kendali, menentukan siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik
pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen.
Spesifik pada tiap organisasi.
8. Audit Report Preparation. Menentukan bagaimana cara
memeriksa hasil audit, yaitu evaluasi kesahihan
dari dokumen-dokumen, prosedur, dan kebijakan dari
organisasi yang diaudit. Struktur dan isi laporan
audit tidak baku, tapi umumnya terdiri atas:
o Pendahuluan. Tujuan, ruang lingkup, lamanya audit,
prosedur audit.
o Kesimpulan umum dari auditor.
13
o Hasil audit. Apa yang ditemukan dalam audit,
apakah prosedur dan kontrol layak atau tidak
o Rekomendasi. Tanggapan dari manajemen (bila
perlu).
o Exit interview. Interview terakhir antara auditor dengan
pihak manajemen untuk membicarakan temuan-temuan
dan rekomendasi tindak lanjut. Sekaligus
meyakinkan tim manajemen bahwa hasil audit sahih
1.10. Perkembangan Pendekatan Audit Sistem Informasi
Perkembangan teknologi informasi, perangkat lunak,
sistem jaringan dan komunikasi dan otomatisasi dalam
pengolahan data berdampak perkembangan terhadap pendekatan
audit yang dilakukan, tiga pendekatan yang dilakukan oleh
auditor dalam memeriksa laporan keuangan klien yang telah
mempergunakan Sistem Informasi Akuntansi yaitu (Watne,
1990) :
1. Auditing Around The Computer. Pendekatan ini merupakan
pendekatan yang mula-mula ditempuh oleh auditor. Dengan
pendekatan ini komputer yang digunakan oleh perusahaan
diperlakukan sebagai Black Box. Asumsi yang digunakan
dalam pendekatan ini adalah bila sampel output dari
suatu sistem ternyata benar berdasarkan masukan sistem
tadi, maka pemrosesannya tentunya dapat diandalkan.
14
Dalam pemeriksaan dengan pendekatan ini, auditor
melakukan pemeriksaan di sekitar komputer saja.
2. Auditing With The Computer. Pendekatan ini digunakan untuk
mengotomatisati banyak kegiatan audit. Auditor
memanfaatkan komputer sebagai alat bantu dalam
melakukan penulisan, perhitungan, pembandingan dan
sebagainya. Pendekatan ini menggunakan perangkat lunak
Generalized Audit Software, yaitu program audit yang berlaku
umum untuk berbagai klien.
3. Auditing Through The Computer. Pendekatan ini lebih
menekankan pada langkah pemrosesan serta pengendalian
program yang dilakukan oleh sistem komputer. Pendekatan
ini mengasumsikan bahwa jika program pemrosesan
dirancang dengan baik dan memiliki aspek pengendalian
yang memadai, maka kesalahan dan penyimpangan
kemungkinan besar tidak terjadi.pendekatan ini biasanya
diterapkan pada sistem pengolahan data on-line yang
tidak memberikan jejak audit yang memadai.
1.11. Tahap-tahap Audit Sistem Informasi
Audit Sistem Informasi dapat dilakukan dengan berbagai macam
tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai
berikut :
1. Tahap pemeriksaan pendahuluan
2. Tahap pemeriksaan rinci.
15
3. Tahap pengujian kesesuaian.
4. Tahap pengujian kebenaran bukti.
5. Tahap penilaian secara umum atas hasil pengujian.
1. Tahap Pemeriksaan Pendahuluan.
Sebelum auditor menentukan sifat dan luas pengujian
yang harus dilakukan, auditor harus memahami bisnis
auditi (kebijakan, struktur organisasi, dan praktik yang
dilakukan). Setelah itu, analisis risiko audit merupakan
bagian yang sangat penting. Ini meliputi review atas
pengendalian intern. Dalam tahap ini, auditor juga
mengidentifikasi aplikasi yang penting dan berusaha untuk
memahami pengendalian terhadap transaksi yang diproses
oleh aplikasi tersebut. pada tahap ini pula auditor dapat
memutuskan apakah audit dapat diteruskan atau
mengundurkan diri dari penugasan audit.
16
2. Tahap Pemeriksaan Rinci.
Pada tahap ini auditnya berupaya mendapatkan informasi
lebih mendalam untuk memahami pengendalian yang diterapkan
dalam sistem komputer klien. Auditor harus dapat
memperkirakan bahwa hasil audit pada akhirnya harus dapat
dijadikan sebagai dasar untuk menilai apakah struktur
pengendalian intern yang diterapkan dapat dipercaya atau
tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi
dasar bagi auditor dalam menentukan langkah selanjutnya.
3. Tahap Pengujian Kesesuaian.
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo
akun dan transaksi. Informasi yang digunakan berada dalam
file data yang biasanya harus diambil menggunakan software
CAATTs. Pendekatan basis data menggunakan CAATTs dan
pengujian substantif untuk memeriksa integritas data. Dengan
kata lain, CAATTs digunakan untuk mengambil data untuk
mengetahui integritas dan keandalan data itu sendiri.
.
17
4. Tahap Pengujian Kebenaran Bukti.
Tujuan pada tahap pengujian kebenaran bukti adalah
untuk mendapatkan bukti yang cukup kompeten,. Pada tahap
ini, pengujian yang dilakukan adalah (Davis at.all. 1981) :
1. Mengidentifikasi kesalahan dalam pemrosesan data
2. Menilai kualitas data
3. Mengidentifikasi ketidakkonsistenan data
4. Membandingkan data dengan perhitungan fisik
5. Konfirmasi data dengan sumber-sumber dari luar
perusahaan.
5. Tahap Penilaian Secara Umum atas Hasil Pengujian.
Pada tahap ini auditor diharapkan telah dapat memberikan
penilaian apakah bukti yang diperoleh dapat atau tidak
mendukung informasi yang diaudit. Hasil penilaian tersebut
akan menjadi dasar bagi auditor untuk menyiapkan
pendapatanya dalam laporan auditan.
Auditor harus mengintegrasikan hasil proses dalam pendekatan
audit yang diterapkan audit yang diterapkan. Audit meliputi
struktur pengendalian intern yang diterapkan perusahaan,
yang mencakup : (1) pengendalian umum, (2) pengendalian
aplikasi, yang terdiri dari : (a) pengendalian secara
18
manual, (b) pengendalian terhadap output sistem informasi,
dan (c) pengendalian yang sudah diprogram.
5.1. Pengendalian Umum.
Pemahaman Pengendalian Umum
Pengendalian umum pada perusahaan biasanya dilakukan
terhadap aspek fisikal maupun logikal. Aspek fisikal,
terhadap aset-aset fisik perusahaan, sedangkan aspek logikal
biasanya terhadap sistem informasi di level manajemen
(misal: sistem operasi). Pengendalian umum sendiri
digolongkan menjadi beberapa, diantaranya adalah:
Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan organisasi disini adalah secara umum
terdapat pemisahan tugas dan jabatan antara pengguna sistem
(operasi) dan administrator sistem (operasi). Disini juga
dapat dilihat bahwa pengguna hanya dapat mengakses sistem
apabila memang telah diotorisasi oleh administrator.
Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut
dapat beroperasi dengan baik selayaknya sesuai yang
diharapkan.
Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi
juga harus dikendalikan.
19
Termasuk pengendalian versi dari sistem informasi tersebut,
catatan perubahan versi,serta
manajemen perubahan atas diimplementasikannya sebuah sistem
informasi.
Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara
fisik terhadap fasilitas-fasilitas sistem informasi suatu
perusahaan, sedangkan akses logikal berkaitan dengan
pengelolaan akses terhadap sistem operasi sistem tersebut
(misal: windows).
5.2. Pengendalian Aplikasi.
Pemahaman Pengendalian Aplikasi
Pengendalian aplikasi yang dimaksud disini adalah prosedur-
prosedur pengendalian yang
didisain oleh manajemen organisasi untuk meminimalkan resiko
terhadap aplikasi yang
diterapkan perusahaan agar proses bisnisnya dapat berjalan
dengan baik.
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi biasanya
bersifat pervasif. Artinya apabila pengendalian umum
terbukti jelek, maka pengendalian aplikasinya diasumsikan
jelek juga, sedangkan bila pengendalian umum terbukti baik,
maka diasumsikan pengendalian aplikasinya juga baik.
Macam Aplikasi
20
Aplikasi yang dimaksud biasanya berwujud perangkat lunak,
yang dapat dibagi menjadi dua tipe dalam perusahaan untuk
kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri. Tipe ini biasanya
terdapat pada organisasi yang belum menerapkan SIA dan
sistem ERP, sehingga masih banyak aplikasi yang berdiri
sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi
(software) MYOB pada fungsi akuntansi dan keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat
pada organisasi yang telah menerapkan SIA dan sistem ERP.
Aplikasi terinstall pada server sehingga tipe struktur
sistemnya memakai sistem client-server . Client hanya dipakai
sebagai antar-muka (interface) untuk mengakses aplikasi pada
server.
Macam Pengendalian Aplikasi
Pengendalian aplikasi dalam organisasi sendiri biasanya
dibagi menjadi beberapa:
1. Organisasi Aplikasi
2. Akses Aplikasi
3. Input
4. Proses
5. Output
6. Master File/Database
Pemahaman atas Pengendalian Organisasi dan Akses Aplikasi
Pada modul ini, kita akan mencoba memahami terlebih dahulu
pengendalian aplikasi:
21
organisasi dan akses. Pada pengendalian organisasi, hampir
sama dengan pengendalian umum organisasi, namun lebih
terfokus pada aplikasi yang diterapkan perusahaan. Siapa
pemilik aplikasi, tugas administrator, pengguna, hingga
pengembangan aplikasi tersebut.
Untuk pengendalian akses, biasanya terpusat hanya pada
pengendalian logika saja untuk menghindari akses tidak
terotorisasi. Selain itu juga terdapat pengendalian role based
menu dibalik pengendalian akses logika, dimana hanya
pengguna tertentu saja yang mampu mengakses menu yang telah
ditunjuk oleh administrator. Hal ini berkaitan erat dengan
kebijakan TI dan prosedur perusahaan berkaitan dengan nama
pengguna dan sandi nya.
Pemahaman atas Pengendalian Input
Modul ini melanjutkan pengendalian akses dari modul 3.0b,
yang pertama melihat pada proses
pengendalian input. Inti dari pengendalian input adalah
memastikan data-data yang dimasukkan ke dalam sistem telah
tervalidasi, akurat, dan terverifikasi. Beberapa
pengendalian input otomatis yang biasa diprogram:
Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
22
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan
instan modul lain yang
terhubungkan, contoh: penerimaan barang dengan tagihan
Pemahaman atas Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan,
yaitu (1) tahapan transaksi, dimana proses terjadi pada
berkas-berkas transaksi baik yang sementara maupun yang
permanen dan (2) tahapan database, proses yang dilakukan
pada berkas-berkas master.
Adapun tipe pengendalian proses adalah sebagai berikut:
1. Run to run control
2. Pivot totals
3. Control/Hash totals: non numerical control
4. Control accounts
5. Data file control: menghitung instan entitas
6. Transaction validation control
7. File reconciliation control
Pemahaman atas Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik
secara otomatis maupun manual (kasat mata) jika output yang
dihasilkan juga kasat mata.
Beberapa tipe pengendalian output:
1. Ekspektansi output (logs)
23
2. Kelengkapan output (misal dengan no halaman)
3. Pengendalian atas spooled output
4. Reasonableness
5. Output rutin
6. Distribusi output
7. Orang yang tepat, ditempat yang benar dalam waktu yang
reasonable
8. SQL output
Pemahaman atas Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial
pada data, sehingga tidak akan
diketemukan anomali-anomali, seperti:
Anomaly penambahan
Anomaly penghapusan
Anomaly pemuktahiran/pembaruan
6. PENGENALAN KERTAS KERJA
Kertas Kerja:
Kertas kerja audit adalah catatan yang dibuat auditor
tentang prosedur yang diterapkan, pelaksanaan pengujian dan
bukti yang diperoleh serta kesimpulan yang diperoleh selama
audit.
Kertas kerja merupakan pendukung utama laporan audit, alat
koordinasi dan supervisi, bukti bahwa auditor telah
24
melakukan audit sesuai dengan standar auditing yang
Berterima umum.
Tujuan Kertas Kerja:
Untuk mendokumentasikan semua bukti audit yang
diperoleh selama pelaksanaan audit.
Untuk mengorganisasikan/mengkoordinasikan semua
tahap atau langkah-langkah audit.
Untuk membantu auditor senior, partner atau pimpinan
kantor akuntan dalam mereview pekerjaan yang
dihasilkan oleh stafnya.
Untuk mempermudah atau sebagai dasar penyusunan
laporan audit
Sebagai bukti dan penjelasan secara rinci atas
pendapat auditor serta temuan-temuan yang telah
dilaporkan dalam laporan audit.
Pedoman Pembuatan Kertas Kerja
Setiap kertas kerja harus bertujuan
Setiap topik dibuatkan kertas kerja sendiri
Indentitas (judul) yang jelas
Diberi indeks atau indeks silang
Semua langkah (prosedur audit) harus dijelaskan
Berisi komentar auditor yang mencerminkan kesimpulan
Ada paraf dan tanggal pembuatan/evaluasi
25
Penyimpanan terpisah antara yang sudah selesai
dengan yang belum selesai
Jenis Kertas Kerja
Kertas kerja neraca saldo
Jadwal dan analisis
Memo audit dan informasi pendukung
Jurnal penyesuaian dan pengklasifikasian kembali
STANDAR UMUM KERTAS KERJA
Fungsi Kertas Kerja
Pendukung pendapat auditor.
Membantu dalam pengarahan dan pengawasan pekerjaan.
Penyediaan catatan tentang:
1. Prosedur audit yang dilakukan.
2. Pengujian yang dilakukan
3. Informasi yang diperoleh.
4. Kesimpulan yang dicapai.
Menyediakan bukti bahwa audit telah diarahkan
menurut Standar Profesional Audit Internal
Kelengkapan Kertas Kerja
Kertas kerja harus akurat dan lengkap
1. Tidak ada pertanyaan signifikan
dalam lingkup atau yang berhubungan dengan tujuan
audit yang tidak dapat terjawab.
26
2. Kertas kerja harus berdiri
sendiri, dalam hal ini harus dinyatakan secara
jelas bahwa pekerjaan telah dilaksanakan,
bagaimana dan dari mana sampel dipilih, tujuan
kertas kerja, temuan apa saja yang telah dibuat,
dan lain-lain.
Setiap bagian dari kertas kerja harus terdiri dari:
1. Gambaran judul
2. Identifikasi sumber jika jelas
3. Tanggal persiapan auditor awal
4. Nomer indeks kertas kerja
7. Prinsip Laporan Audit
Hasil Laporan audit merupakan media yang dipakai oleh
auditor dalam berkomunikasi dengan klien. Laporan audit
berupa komunikasi dan ekspresi auditor terhadap objek yang
diaudit agar laporan atau ekspresi auditor tadi dapat
dimengerti maka laporan itu harus mampu dipahami oleh
penggunanya.
Laporan audit ini terdiri dari:
1. Maksud dan tujuan dari review pengendalian terhadap
penerapan TI di klien.
27
2. Ruang lingkup dan referensi pengendalian yang
digunakan sebagai bahan acuan penilaian pengendalian
TI yang diterapkan dalam klien.
3. Metodologi review merupakan langkah-langkah audit
dan teknik pemerolehan informasi untuk mendukung
laporan review.
4. Pernyataan penjelasan hasil review:
a. Permasalahan, menjelaskan pokok masalah yang saat
ini dihadapi oleh klien.
b. Temuan, menjelaskan bukti audit untuk mendukung
kesimpulan masalah.
c. Kriteria/standar, menjelaskan pengendalian yang
seharusnya diterapkan oleh klien.
d. Kondisi, menjelaskan sebab dan akibat serta
aktifitas/kegiatan terkini.
e. Risiko, menjelaskan potensi dan dampak negatif
terhadap hilangnya atau tidak diterapkannya
pengendalian.
f. Tanggapan manajemen, menjelaskan komentar dan
tanggapan manajemen terhadap permasalahan dan temuan
yang telah disampaikan.
g. Rekomendasi, menjelaskan saran-saran perbaikan
dan implementasi penge pengendalian yang harus
diterapkan dalam kegiatan/aktifitas klien.
28
Pelaksanaan audit system informasi dilaksanakan
berdasarkan risk-based approach dengan mengacu pada:
1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65
2. COBIT 4.0
3. ISO 17799:2005
4. best practices lainnya (ISACA Guidelines, CISA 2007, COSO,
Sarbanes-Oxley Act, SANS) Pelaksanaan audit dilakukan dengan
Cara yang dapat dilaksanakan adalah:
1. Penyampaian kuisioner
a. Kuisioner Pengendalian Sistem Informasi
b. Kuisioner I – Analisis Pengelolaan Teknologi
Informasi, Management Awareness
c. Kuisioner II – Analisis Pengelolaan Teknologi
Informasi, Information Technology Controls Diagnostic
2. Wawancara
3. Observasi
a. Major application
b. Infrastruktur pendukung data center: air
conditioning, smoke detector, fire extinguisher,
hydrant, dll.
c. Sistem Operasi
d. Database
e. Internet, LAN, WAN
29
f. Perangkat Keras dan Lunak
g. Kebijakan dan Standard Operation Procedure
4. Studi kebijakan, prosedur, dan dokumentasi
5. Pengujian dengan menggunakan perangkat lunak
Referensi Control Objective for Information and related Technology
(COBIT):
1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)
Aset informasi suatu entitas seperti perangkat keras
(hardware), perangkat lunak (software), sumber daya manusia,
file/data dan fasilitas Teknologi Informasi lainnya
harus dijaga dengan sistem pengendalian internal yang
baik agar tidak terjadi misefisiensi, mis-efektifitas,
dan penyalahgunaan aset entitas. Dengan demikian
sistem pengamanan aset sistem informasi merupakan
suatu hal yang sangat penting yang harus dipenuhi oleh
entitas.
2. Efektifitas sistem
Efektifitas sistem informasi entitas memiliki peranan
penting dalam proses pengambilan keputusan
usaha/bisnis. Suatu sistem informasi dapat dikatakan
efektifbila sistem informasi memberikan manfaat dan
ketepatgunaan teknologi informasi dalam operasi dan
administrasi.
3. Efisiensi sistem
30
Efisiensi menjadi sangat penting ketika sumber daya
kapasitas yang dimiliki oleh entitas terbatas. Jika
cara kerja dari sistem aplikasi komputer menurun maka
pihak manajemen, dalam hal ini mewakili entitas, harus
mengevaluasi apakah efisiensi sistem masih memadai
atau harus menambah sumber daya, karena suatu sistem
dapat dikatakan efisien jika sistem informasi dapat
memenuhi kebutuhan user dengan sumber daya informasi
yang minimal.
4. Memberikan dan mengelola ketersediaan layanan sistem
informasi (Availability) Berhubungan dengan ketersediaan
dukungan/layanan teknologi informasi. Teknologi
Informasi hendaknya dapat mendukung secara
berkelanjutan terhadap proses usaha/bisnis entitas.
Makin sering terjadi gangguan (system downtime) maka
berarti tingkat ketersediaan sistem rendah.
5. Menjaga kerahasiaan (Confidentiality)
Fokus kerahasiaan disini ialah perlindungan terhadap
informasi dan supaya terlindung dari akses dari pihak-
pihak yang tidak berwenang dan bertanggungjawab.
6. Meningkatkan kehandalan (Reability)
Berhubungan dengan kesesuaian dan keakuratan bagi
manajemen dalam pengelolaan organ isasi, pelaporan dan
pertanggungjawaban.
7. Menjaga integritas data (Data Integrity)
31
Integritas data adalah salah satu konsep dasar sistem
informasi. Data memiliki atributatribut seperti:
kelengkapan, kebenaran, dan keakuratan. Jika
integritas data tidak terpelihara, maka suatu entitas
tidak akan lagi memiliki informasi/laporan yang benar,
bahkan entitas dapat menderita k kerugian karena
pengawasan yang tidak tepat atau keputusan-keputusan
yang
salah. Faktor utama yang membuat data berharga bagi
entitas dan pentingnya untuk menjaga integritas data
adalah:
a. Makna penting data/informasi bagi pengambilan
keputusan adalah peningkatan kualitas data sehingga
dapat memberikan informasi bagi para pengambil
keputusan.
b. Nilai data bagi pesaing entitas, jika data tersebut
berguna bagi pesaing maka kehilangan data akan
memberikan dampak buruk bagi entitas. Pesaing dapat
menggunakan data tersebut untuk mengalahkan entitas
saingannya sehingga mengakibatkan entitas menjadi
kehilangan pasar, berkurangnya keuntungan, dan
sebagainya.
8. Menaati seluruh peraturan dan aturan yang ada dan
berlaku saat ini, baik itu di internal dan eksternal
organisasi/entitas (Compliance)
32
Ketaatan terhadap peraturan yang berlaku baik itu
didalam dan luar entitas memberikan dampak positif
dan bernilai tambah guna memberikan keyakinan yang
cukup bagi para pihak yang berkepentingan entitas
khususnya para regulator bahwa entitas menerapkan
prinsip kehati-hatian dengan tidak meniadakan prinsip
biayamanfaat dalam melakukan kegiatan usaha/bisnis
entitas khususnya kegiatan teknologi informasi.
33