BAB 1

Auditing dan Sistem Informasi

1.1 Pengantar

Perkembangan sistem informasi yang digunakan oleh klien

berdampak dengan keahlian yang harus dikuasai oleh auditor

yang semula pendekatan yang dilakukan dengan cara manual

maka dengan perubahan tersebut auditor dituntut untuk

menguasai proses sistem informasi yang dipakai klien dan

Teknik Audit Berbantuan Komputer (TABK) dengan menyesuaikan

proses audit dan prosedur yang digunakan pada saat

melaksanakan pekerjaan lapangan misalnya perubahan

lingkungan sistem akuntansi yang manual menjadi sistem

informasi akuntansi berbasis komputer menyebabkan auditor

harus mempelajari karaktristik lingkungan sistem tersebut.

Agar pelaksanaan auditing dapat berjalan dengan efektif dan

efisien, auditor sudah seharusnya menyesuaikan teknik-teknik

auditnya dengan sistem informasi klien.

Untuk memperoleh pemahaman tentang efinisi audit, type-type

audit, jenis-jenis auditor, pengetahuan sistem, informasi,

berikut akan dibahas secara rinci.

1.2. Definisi Audit

1

Ada beberapa definisi audit yang diberikan oleh

beberapa ahli di bidang akuntansi, antara lain:

Menurut Alvin A.Arens dan James K.Loebbecke :

“Auditing is the accumulation and evaluation of evidence about information

to determine and report on the degree of correspondence between the

information and established criteria. Auditing should be done by a

competent independent person”.

Menurut Mulyadi :

“Suatu proses sistematik untuk memperoleh dan

mengevaluasi bukti secara obyektif mengenai pernyataan-

pernyataan tentang kegiatan dan kejadian ekonomi, dengan

tujuan untuk menetapkan tingkat kesesuaian antara

pernyataan-pernyataan tersebut dengan kriteria yang

telah ditetapkan, serta penyampaian hasil-hasilnya

kepada pemakai yang berkepentingan”.

Dalam melaksanakan audit faktor-faktor berikut harus

diperhatikan:

1. Dibutuhkan informasi yang dapat diukur dan sejumlah

kriteria (standar) yang dapat digunakan sebagai panduan

untuk mengevaluasi informasi tersebut,

2. Penetapan entitas ekonomi dan periode waktu yang

diaudit harus jelas untuk menentukan lingkup

tanggungjawab auditor,

2

3. Bahan bukti harus diperoleh dalam jumlah dan kualitas

yang cukup untuk memenuhi tujuan audit,

4. Kemampuan auditor memahami kriteria yang digunakan

serta sikap independen dalam mengumpulkan bahan bukti

yang diperlukan untuk mendukung kesimpulan yang akan

diambilnya.

1.3. Tipe-tipe Audit

Audit pada umumnya dibagi menjadi tiga golongan,

yaitu : audit laporan keuangan, audit kepatuhan, dan audit

operasional.

1. Audit laporan keuangan (financial statement audit). Audit

laporan keuangan adalah audit yang dilakukan oleh

auditor eksternal maupun internal terhadap laporan

keuangan auditee untuk memberikan pendapat apakah

laporan keuangan tersebut disajikan sesuai dengan

kriteria-kriteria yang telah ditetapkan. Hasil audit

lalu dibagikan kepada pihak luar perusahaan seperti

kreditor, pemegang saham, dan kantor pelayanan pajak.

2. Audit kepatuhan (compliance audit). Audit ini bertujuan

untuk menentukan apakah yang diperiksa sesuai dengan

kondisi, peratuan, dan undang-undang tertentu.

Kriteria-kriteria yang ditetapkan dalam audit kepatuhan

berasal dari sumber-sumber yang berbeda. Contohnya ia

3

mungkin bersumber dari manajemen dalam bentuk prosedur-

prosedur pengendalian internal. Audit kepatuhan dapat

dilakukan oleh auditor internal maupun eksternal.

3. Audit operasional (operational audit). Audit operasional

merupakan penelahaan secara sistematik aktivitas

operasi organisasi dalam hubungannya dengan tujuan

tertentu. Dalam audit operasional, auditor diharapkan

melakukan pengamatan yang obyektif dan analisis yang

komprehensif terhadap operasional-operasional tertentu.

Tujuan audit operasional adalah untuk :

1. Menilai kinerja, kinerja dibandingkan dengan

kebijakan-kebijakan, standar-standar, dan sasaran-

sasaran yang ditetapkan oleh manajemen

2. Mengidentifikasikan peluang dan

3. Memberikan rekomendasi untuk perbaikan atau tindakan

lebih lanjut. Pihak-pihak yang mungkin meminta

dilakukannya audit operasional adalah manajemen dan

pihak ketiga. Hasil audit operasional diserahkan

kepada pihak yang meminta dilaksanakannya audit

tersebut.

1.4. Jenis-jenis Auditor

4

Auditor biasanya diklasifikasikan dalam dua kategori

berdasarkan siapa yang mempekerjakan mereka, yaitu : Auditor

eksternal, dan auditor internal,

1. Auditor eksternal. Audit eksternal merupakan pihak luar

yang bukan merupakan karyawan perusahaan, berkedudukan

independen dan tidak memihak baik terhadap auditeenya

maupun terhadap pihak-pihak yang berkepentingan dengan

auditeenya (pengguna laporan keuangan). Auditor

eksternal dapat melakukan setiap jenis audit.

2. Auditor Internal. Auditor internal adalah pegawai dari

perusahaan yang diaudit, auditor ini melibatkan diri

dalam suatu kegiatan penilaian independen dalam

lingkungan perusahaan sebagai suatu bentuk jasa bagi

perusahaaan.. Fungsi dasar dari Internal Audit adalah

suatu penilaian, yang dilakukan oleh pegawai perusahaan

yang terlatih mengenai ketelitian, dapat dipercayainya,

efisiensi, dan kegunaan catatan-catatan (akutansi)

perusahaan, serta pengendalian intern yang terdapat

dalam perusahaan. Tujuannya adalah untuk membantu

pimpinan perusahaan (manajemen) dalam melaksanakan

tanggungjawabnya dengan memberikan analisa, penilaian,

saran, dan komentar mengenai kegiatan yang di audit.

Untuk mencapai tujuan tersebut, internal auditor

melakukan kegiatan–kegiatan berikut:

Menelaah dan menilai kebaikan, memadai tidaknya dan

penerapan sistem pengendalian manajemen, struktur

5

pengendalian intern, dan pengendalian operasional

lainnya serta mengembangkan pengendalian yang

efektif dengan biaya yang tidak terlalu mahal,

Memastikan ketaatan terhadap kebijakan, rencana dan

prosedurprosedur yang telah ditetapkan oleh

manajemen

Memastikan seberapa jauh harta perusahaan

dipertanggungjawabkan dan dilindungi dari

kemungkinan terjadinya segala bentuk pencurian,

kecurangan dan penyalahgunaan

Memastikan bahwa pengelolaan data yang dikembangkan

dalam organisasi dapat dipercaya

Menilai mutu pekerjaan setiap bagian dalam

melaksanakan tugas yang diberikan oleh manajemen

Menyarankan perbaikan-perbaikan operasional dalam

rangka meningkatkan efisensi dan efektifitas

Dari kegiatan-kegiatan yang dilakukannya tersebut dapat

disimpulkan bahwa internal auditor antara lain memiliki

peranan dalam :

Pencegahan Kecurangan (Fraud Prevention),

Pendeteksian Kecurangan (Fraud Detection), dan

Penginvestigasian Kecurangan (Fraud Investigation).

6

1.5. Pengertian sistem

Sistem adalah suatu kesatuan yang terdiri dari dua atau

lebih komponen atau subsistem yang berinteraksi untuk

mencapai suatu tujuan (Barry E. Cushing, 1974).

Sistem adalah suatu grup dari elemen-elemen baik

berbentuk fisik maupun bukan fisik yang menunjukan suatu

kumpulan saling berhubungan di antaranya dan berinteraksi

bersama-sama menuju satu atau lebih tujuan, sasaran atau

akhir dari sistem (M. J Alexander, 1974).

Stephen A. Moscove dan Mark G (1984) mendefinisikan

sistem sebagai berikut: Sistem adalah suatu kesatuan yang

terdiri dari dari interaksi subsistem yang berusaha untuk

mencapai tujuan yang sama.

Menurut O’Brien, sistem merupakan sekumpulan komponen-

komponen yang saling berhubungan dan bekerja sama untuk

mencapai tujuan bersama, dengan menerima masukan dan

menghasilkan pengeluaran melalui proses transformasi yang

terorganisir.

Menurut Mathiassen, system adalah sekumpulan komponen

yang mengimplementasikan kebutuhan pemodelan fungsi dan

antar muka.

Dari definisi-definisi diatas dapat ditarik kesimpulan

bahwa sistem adalah kumpulan dari komponen-komponen atau

subsistem-subsistem yang saling berinteraksi dan berhubungan

membentuk satu kesatuan untuk mencapai tujuan atau sasaran

7

sistem tersebut. Misalnya, sistem akuntansi dapat terdiri

dari beberapa susbsistem-subsistem, yaitu subsistem

akuntansi penjualan, subsistem akuntansi pembelian,

subsistem akuntansi penggajian, subsistem akuntansi biaya

dan sebagainya. Bahkan sistem akuntansi itu sendiri

merupakan subsistem dari sistem yang lebih besar.

1.6. Pengertian Informasi

Menurut Kenneth C. Laudon dan Jane Price Laudon (1999),

informasi adalah data yang telah dibentuk menjadi suatu

bentuk yang mempunyai arti dan bermanfaat bagi umat manusia.

Menurut John Burch dan Gary Grudnitski (1986),

informasi adalah data yang telah diletakan dalam konteks

yang lebih berarti dan berguna yang dikomunikasikan kepada

penerima untuk digunakan di dalam pembuatan keputusan.

Menurut O’Brien, informasi adalah adata yang telah

diubah ke dalam sebuah bentuk yang mempunyai arti dan

berguna bagi pemakai tertentu atau khusus.

Menurut Mcleod, informasi adalah data yang telah

diproses sehingga menjadi data yang mempunyai arti dan

berguna bagi pemakainya.

Dari beberapa definisi tersebut dapat disimpulkan bahwa

informasi (Jogiyanto 1999) adalah:

1. data yang diolah

8

2. menjadi bentuk yang lebih berguna (relevan, akurat,

dan tepat waktu) dan lebih berarti bagi yang

menerimanya.

3. menggambarkan suatu kejadian-kejadian (event) dan suatu

kesatuan yang nyata (fact dan entity).

4. digunakan untuk pengambilan keputusan.

Sumber dari informasi adalah data. Data merupakan

kenyataan yang menggambarkan suatu kejadian-kejadian dan

kesatuan nyata. Data merupakan bentuk yang masih mentah yang

perlu diolah lebih lanjut melalui suatu model untuk

dihasilkan informasi. Kemudian dari informasi tersebut

digunakan untuk membuat keputusan dan melakukan tindakan.

Kejadian-kejadian (event) adalah sesuatu yang terjadi pada

saat yang tertentu. Kesatuan (fact dan entity) adalah berupa

suatu obyek nyata seperti tempat, benda dan orang yang

betul-betul ada dan terjadi.

1.7. Pengertian Sistem Informasi

Menurut James B. Bower, Robert E. Schlosser dan Maurice

S. Newman (1985): suatu sistem informasi adalah suatu cara

yang sudah tertentu untuk menyediakan informasi yang

dibutuhkan oleh organisasi untuk beroperasi dengan cara yang

sukses dan untuk organisasi bisnis dengan cara yang

menguntungkan.

9

Sedangkan menurut John F. Nash dan Martin B. Roberts

(1984): suatu sistem informasi adalah suatu kombinasi dari

orang-orang, fasilitas, teknologi, media, prosedur-prosedur

dan pengendalian yang ditujukan untuk mendapatkan jalur

komunikasi penting, memproses tipe transaksi rutin tertentu,

memberi sinyal kepada manajemen dan yang lainnya terhadap

kejadian-kejadian internal dan ekstenal yang penting dan

menyediakan suatu dasar untuk pengambilan keputusan yang

cerdik.

1.8. Pengertian Teknologi Informasi

Teknologi Informasi adalah suatu hardware (perangkat

keras) dan software (perangkat lunak) yang digunakan oleh

sistem informasi, hardware atau perangkat keras merupakan

peralatan fisik yang terlibat dalam pemrosesan informasi

seperti computer, workstation, peralatan jaringan, tempat

penyimpanan data serta peralatan transmisi. Software adalah

program computer yang menginterpretasikan apa yang harus

dilakukan.

Teknologi Informasi adalah teknologi computer untuk

memproses dan menyimpan informasi, sama baiknya dengan

teknologi komunikasi untuk transmisi informasi

1.9. Audit SI

10

Audit sebuah system teknologi informasi untuk saat ini

adalah sebuah keharusan. Audit perlu dilakukan agar sebuat

system mampu memenuhi syarat IT Governance. Audit system

informasi adalah cara untuk melakukan pengujian terhadap

system informasi yang ada di dalam organisasi untuk

mengetahui apakah system informasi yang dimiliki telah

sesuai dengan visi, misi dan tujuan organisasi, menguji

performa system informasi dan untuk mendeteksi resiko-resiko

dan efek potensial yang mungkin timbul.

Metodologi Audit IT

Dalam pelaksanaanya, auditor TI mengumpulkan bukti-

bukti yang memadai melalui berbagai teknik termasuk survey,

wawancara, observasi dan review dokumentasi.

Satu hal yang unik, bukti-bukti audit yang diambil oleh

auditor biasanya mencakup pula bukti elektronis. Biasanya,

auditor TI menerapkan teknik audit berbantuan computer,

disebut juga dengan CAAT (Computer Aided Auditing

Technique). Teknik ini digunakan untuk menganalisa data,

11

misalnya saja data transaksi penjualan, pembelian,

transaksi aktivitas persediaan, aktivitas nasabah, dan lain-

lain.

Langkah dasar Audit SI

Audit dalam konteks teknologi informasi adalah

memeriksa apakah sistem komputer berjalan semestinya. Tujuh

langkah proses audit:

1. Implementasikan sebuah strategi audit berbasis

manajemen risiko serta control practice yang dapat

disepakati semua pihak.

2. Tetapkan langkah-langkah audit yang rinci.

3. Gunakan fakta/bahan bukti yang cukup, handal, relevan,

serta bermanfaat.

4. Buatlah laporan beserta kesimpulannya berdasarkan fakta

yang dikumpulkan.

5. Telaah apakah tujuan audit tercapai.

6. Sampaikan laporan kepada pihak yang berkepentingan.

7. Pastikan bahwa organisasi mengimplementasikan managemen

risiko serta control practice.

Sebelum menjalankan proses audit, tentu saja proses

audit harus direncanakan terlebih dahulu. Audit planning

(perencanaan audit) harus secara jelas menerangkan tujuan

12

audit, kewenangan auditor, adanya persetujuan managemen

tinggi, dan metode audit. Metodologi audit:

1. Audit subject. Menentukan apa yang akan diaudit.

2. Audit objective. Menentukan tujuan dari audit.

3. Audit Scope. Menentukan sistem, fungsi, dan bagian

dari organisasi yang secara spesifik/khusus akan

diaudit.

4. Preaudit Planning. Mengidentifikasi sumber daya dan

SDM yang dibutuhkan, menentukan dokumen-dokumen

apa yang diperlukan untuk menunjang audit,

menentukan lokasi audit.

5. Audit procedures and steps for data gathering. Menentukan

cara melakukan audit untuk memeriksa dan menguji

kendali, menentukan siapa yang akan diwawancara.

6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik

pada tiap organisasi.

7. Prosedur komunikasi dengan pihak manajemen.

Spesifik pada tiap organisasi.

8. Audit Report Preparation. Menentukan bagaimana cara

memeriksa hasil audit, yaitu evaluasi kesahihan

dari dokumen-dokumen, prosedur, dan kebijakan dari

organisasi yang diaudit. Struktur dan isi laporan

audit tidak baku, tapi umumnya terdiri atas:

o Pendahuluan. Tujuan, ruang lingkup, lamanya audit,

prosedur audit.

o Kesimpulan umum dari auditor.

13

o Hasil audit. Apa yang ditemukan dalam audit,

apakah prosedur dan kontrol layak atau tidak

o Rekomendasi. Tanggapan dari manajemen (bila

perlu).

o Exit interview. Interview terakhir antara auditor dengan

pihak manajemen untuk membicarakan temuan-temuan

dan rekomendasi tindak lanjut. Sekaligus

meyakinkan tim manajemen bahwa hasil audit sahih

1.10. Perkembangan Pendekatan Audit Sistem Informasi

Perkembangan teknologi informasi, perangkat lunak,

sistem jaringan dan komunikasi dan otomatisasi dalam

pengolahan data berdampak perkembangan terhadap pendekatan

audit yang dilakukan, tiga pendekatan yang dilakukan oleh

auditor dalam memeriksa laporan keuangan klien yang telah

mempergunakan Sistem Informasi Akuntansi yaitu (Watne,

1990) :

1. Auditing Around The Computer. Pendekatan ini merupakan

pendekatan yang mula-mula ditempuh oleh auditor. Dengan

pendekatan ini komputer yang digunakan oleh perusahaan

diperlakukan sebagai Black Box. Asumsi yang digunakan

dalam pendekatan ini adalah bila sampel output dari

suatu sistem ternyata benar berdasarkan masukan sistem

tadi, maka pemrosesannya tentunya dapat diandalkan.

14

Dalam pemeriksaan dengan pendekatan ini, auditor

melakukan pemeriksaan di sekitar komputer saja.

2. Auditing With The Computer. Pendekatan ini digunakan untuk

mengotomatisati banyak kegiatan audit. Auditor

memanfaatkan komputer sebagai alat bantu dalam

melakukan penulisan, perhitungan, pembandingan dan

sebagainya. Pendekatan ini menggunakan perangkat lunak

Generalized Audit Software, yaitu program audit yang berlaku

umum untuk berbagai klien.

3. Auditing Through The Computer. Pendekatan ini lebih

menekankan pada langkah pemrosesan serta pengendalian

program yang dilakukan oleh sistem komputer. Pendekatan

ini mengasumsikan bahwa jika program pemrosesan

dirancang dengan baik dan memiliki aspek pengendalian

yang memadai, maka kesalahan dan penyimpangan

kemungkinan besar tidak terjadi.pendekatan ini biasanya

diterapkan pada sistem pengolahan data on-line yang

tidak memberikan jejak audit yang memadai.

1.11. Tahap-tahap Audit Sistem Informasi

Audit Sistem Informasi dapat dilakukan dengan berbagai macam

tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai

berikut :

1. Tahap pemeriksaan pendahuluan

2. Tahap pemeriksaan rinci.

15

3. Tahap pengujian kesesuaian.

4. Tahap pengujian kebenaran bukti.

5. Tahap penilaian secara umum atas hasil pengujian.

1. Tahap Pemeriksaan Pendahuluan.

Sebelum auditor menentukan sifat dan luas pengujian

yang harus dilakukan, auditor harus memahami bisnis

auditi (kebijakan, struktur organisasi, dan praktik yang

dilakukan). Setelah itu, analisis risiko audit merupakan

bagian yang sangat penting. Ini meliputi review atas

pengendalian intern. Dalam tahap ini, auditor juga

mengidentifikasi aplikasi yang penting dan berusaha untuk

memahami pengendalian terhadap transaksi yang diproses

oleh aplikasi tersebut. pada tahap ini pula auditor dapat

memutuskan apakah audit dapat diteruskan atau

mengundurkan diri dari penugasan audit.

16

2. Tahap Pemeriksaan Rinci.

Pada tahap ini auditnya berupaya mendapatkan informasi

lebih mendalam untuk memahami pengendalian yang diterapkan

dalam sistem komputer klien. Auditor harus dapat

memperkirakan bahwa hasil audit pada akhirnya harus dapat

dijadikan sebagai dasar untuk menilai apakah struktur

pengendalian intern yang diterapkan dapat dipercaya atau

tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi

dasar bagi auditor dalam menentukan langkah selanjutnya.

3. Tahap Pengujian Kesesuaian.

Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo

akun dan transaksi. Informasi yang digunakan berada dalam

file data yang biasanya harus diambil menggunakan software

CAATTs. Pendekatan basis data menggunakan CAATTs dan

pengujian substantif untuk memeriksa integritas data. Dengan

kata lain, CAATTs digunakan untuk mengambil data untuk

mengetahui integritas dan keandalan data itu sendiri.

.

17

4. Tahap Pengujian Kebenaran Bukti.

Tujuan pada tahap pengujian kebenaran bukti adalah

untuk mendapatkan bukti yang cukup kompeten,. Pada tahap

ini, pengujian yang dilakukan adalah (Davis at.all. 1981) :

1. Mengidentifikasi kesalahan dalam pemrosesan data

2. Menilai kualitas data

3. Mengidentifikasi ketidakkonsistenan data

4. Membandingkan data dengan perhitungan fisik

5. Konfirmasi data dengan sumber-sumber dari luar

perusahaan.

5. Tahap Penilaian Secara Umum atas Hasil Pengujian.

Pada tahap ini auditor diharapkan telah dapat memberikan

penilaian apakah bukti yang diperoleh dapat atau tidak

mendukung informasi yang diaudit. Hasil penilaian tersebut

akan menjadi dasar bagi auditor untuk menyiapkan

pendapatanya dalam laporan auditan.

Auditor harus mengintegrasikan hasil proses dalam pendekatan

audit yang diterapkan audit yang diterapkan. Audit meliputi

struktur pengendalian intern yang diterapkan perusahaan,

yang mencakup : (1) pengendalian umum, (2) pengendalian

aplikasi, yang terdiri dari : (a) pengendalian secara

18

manual, (b) pengendalian terhadap output sistem informasi,

dan (c) pengendalian yang sudah diprogram.

5.1. Pengendalian Umum.

Pemahaman Pengendalian Umum

Pengendalian umum pada perusahaan biasanya dilakukan

terhadap aspek fisikal maupun logikal. Aspek fisikal,

terhadap aset-aset fisik perusahaan, sedangkan aspek logikal

biasanya terhadap sistem informasi di level manajemen

(misal: sistem operasi). Pengendalian umum sendiri

digolongkan menjadi beberapa, diantaranya adalah:

Pengendalian organisasi dan otorisasi.

Yang dimaksud dengan organisasi disini adalah secara umum

terdapat pemisahan tugas dan jabatan antara pengguna sistem

(operasi) dan administrator sistem (operasi). Disini juga

dapat dilihat bahwa pengguna hanya dapat mengakses sistem

apabila memang telah diotorisasi oleh administrator.

Pengendalian operasi.

Operasi sistem informasi dalam perusahaan juga perlu

pengendalian untuk memastikan sistem informasi tersebut

dapat beroperasi dengan baik selayaknya sesuai yang

diharapkan.

Pengendalian perubahan.

Perubahan-perubahan yang dilakukan terhadap sistem informasi

juga harus dikendalikan.

19

Termasuk pengendalian versi dari sistem informasi tersebut,

catatan perubahan versi,serta

manajemen perubahan atas diimplementasikannya sebuah sistem

informasi.

Pengendalian akses fisikal dan logikal.

Pengendalian akses fisikal berkaitan dengan akses secara

fisik terhadap fasilitas-fasilitas sistem informasi suatu

perusahaan, sedangkan akses logikal berkaitan dengan

pengelolaan akses terhadap sistem operasi sistem tersebut

(misal: windows).

5.2. Pengendalian Aplikasi.

Pemahaman Pengendalian Aplikasi

Pengendalian aplikasi yang dimaksud disini adalah prosedur-

prosedur pengendalian yang

didisain oleh manajemen organisasi untuk meminimalkan resiko

terhadap aplikasi yang

diterapkan perusahaan agar proses bisnisnya dapat berjalan

dengan baik.

Hubungan Pengendalian Umum dan Aplikasi

Hubungan antara pengendalian umum dan aplikasi biasanya

bersifat pervasif. Artinya apabila pengendalian umum

terbukti jelek, maka pengendalian aplikasinya diasumsikan

jelek juga, sedangkan bila pengendalian umum terbukti baik,

maka diasumsikan pengendalian aplikasinya juga baik.

Macam Aplikasi

20

Aplikasi yang dimaksud biasanya berwujud perangkat lunak,

yang dapat dibagi menjadi dua tipe dalam perusahaan untuk

kepentingan audit PDE:

1. Perangkat lunak berdiri sendiri. Tipe ini biasanya

terdapat pada organisasi yang belum menerapkan SIA dan

sistem ERP, sehingga masih banyak aplikasi yang berdiri

sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi

(software) MYOB pada fungsi akuntansi dan keuangan.

2. Perangkat lunak di server. Tipe ini biasanya terdapat

pada organisasi yang telah menerapkan SIA dan sistem ERP.

Aplikasi terinstall pada server sehingga tipe struktur

sistemnya memakai sistem client-server . Client hanya dipakai

sebagai antar-muka (interface) untuk mengakses aplikasi pada

server.

Macam Pengendalian Aplikasi

Pengendalian aplikasi dalam organisasi sendiri biasanya

dibagi menjadi beberapa:

1. Organisasi Aplikasi

2. Akses Aplikasi

3. Input

4. Proses

5. Output

6. Master File/Database

Pemahaman atas Pengendalian Organisasi dan Akses Aplikasi

Pada modul ini, kita akan mencoba memahami terlebih dahulu

pengendalian aplikasi:

21

organisasi dan akses. Pada pengendalian organisasi, hampir

sama dengan pengendalian umum organisasi, namun lebih

terfokus pada aplikasi yang diterapkan perusahaan. Siapa

pemilik aplikasi, tugas administrator, pengguna, hingga

pengembangan aplikasi tersebut.

Untuk pengendalian akses, biasanya terpusat hanya pada

pengendalian logika saja untuk menghindari akses tidak

terotorisasi. Selain itu juga terdapat pengendalian role based

menu dibalik pengendalian akses logika, dimana hanya

pengguna tertentu saja yang mampu mengakses menu yang telah

ditunjuk oleh administrator. Hal ini berkaitan erat dengan

kebijakan TI dan prosedur perusahaan berkaitan dengan nama

pengguna dan sandi nya.

Pemahaman atas Pengendalian Input

Modul ini melanjutkan pengendalian akses dari modul 3.0b,

yang pertama melihat pada proses

pengendalian input. Inti dari pengendalian input adalah

memastikan data-data yang dimasukkan ke dalam sistem telah

tervalidasi, akurat, dan terverifikasi. Beberapa

pengendalian input otomatis yang biasa diprogram:

Validation checks

1. Format checks: sesuai dengan format yang ditentukan

2. Range and limit checks

3. Check digits

4. Validity checks (lookup)

5. Compatibility checks (data dan turunan)

22

Duplicate Checks

Membandingkan dengan input transaksi sebelumnya

Matching

Membandingkan (verifikasi) instan pada satu modul dengan

instan modul lain yang

terhubungkan, contoh: penerimaan barang dengan tagihan

Pemahaman atas Pengendalian Proses

Pengendalian proses biasanya terbagi menjadi dua tahapan,

yaitu (1) tahapan transaksi, dimana proses terjadi pada

berkas-berkas transaksi baik yang sementara maupun yang

permanen dan (2) tahapan database, proses yang dilakukan

pada berkas-berkas master.

Adapun tipe pengendalian proses adalah sebagai berikut:

1. Run to run control

2. Pivot totals

3. Control/Hash totals: non numerical control

4. Control accounts

5. Data file control: menghitung instan entitas

6. Transaction validation control

7. File reconciliation control

Pemahaman atas Pengendalian Output

Pada pengendalian ini dilakukan beberapa pengecekan baik

secara otomatis maupun manual (kasat mata) jika output yang

dihasilkan juga kasat mata.

Beberapa tipe pengendalian output:

1. Ekspektansi output (logs)

23

2. Kelengkapan output (misal dengan no halaman)

3. Pengendalian atas spooled output

4. Reasonableness

5. Output rutin

6. Distribusi output

7. Orang yang tepat, ditempat yang benar dalam waktu yang

reasonable

8. SQL output

Pemahaman atas Pengendalian Berkas Master

Pada pengendalian ini harus terjadi integritas referensial

pada data, sehingga tidak akan

diketemukan anomali-anomali, seperti:

Anomaly penambahan

Anomaly penghapusan

Anomaly pemuktahiran/pembaruan

6. PENGENALAN KERTAS KERJA

Kertas Kerja:

Kertas kerja audit adalah catatan yang dibuat auditor

tentang prosedur yang diterapkan, pelaksanaan pengujian dan

bukti yang diperoleh serta kesimpulan yang diperoleh selama

audit.

Kertas kerja merupakan pendukung utama laporan audit, alat

koordinasi dan supervisi, bukti bahwa auditor telah

24

melakukan audit sesuai dengan standar auditing yang

Berterima umum.

Tujuan Kertas Kerja:

Untuk mendokumentasikan semua bukti audit yang

diperoleh selama pelaksanaan audit.

Untuk mengorganisasikan/mengkoordinasikan semua

tahap atau langkah-langkah audit.

Untuk membantu auditor senior, partner atau pimpinan

kantor akuntan dalam mereview pekerjaan yang

dihasilkan oleh stafnya.

Untuk mempermudah atau sebagai dasar penyusunan

laporan audit

Sebagai bukti dan penjelasan secara rinci atas

pendapat auditor serta temuan-temuan yang telah

dilaporkan dalam laporan audit.

Pedoman Pembuatan Kertas Kerja

Setiap kertas kerja harus bertujuan

Setiap topik dibuatkan kertas kerja sendiri

Indentitas (judul) yang jelas

Diberi indeks atau indeks silang

Semua langkah (prosedur audit) harus dijelaskan

Berisi komentar auditor yang mencerminkan kesimpulan

Ada paraf dan tanggal pembuatan/evaluasi

25

Penyimpanan terpisah antara yang sudah selesai

dengan yang belum selesai

Jenis Kertas Kerja

Kertas kerja neraca saldo

Jadwal dan analisis

Memo audit dan informasi pendukung

Jurnal penyesuaian dan pengklasifikasian kembali

STANDAR UMUM KERTAS KERJA

Fungsi Kertas Kerja

Pendukung pendapat auditor.

Membantu dalam pengarahan dan pengawasan pekerjaan.

Penyediaan catatan tentang:

1. Prosedur audit yang dilakukan.

2. Pengujian yang dilakukan

3. Informasi yang diperoleh.

4. Kesimpulan yang dicapai.

Menyediakan bukti bahwa audit telah diarahkan

menurut Standar Profesional Audit Internal

Kelengkapan Kertas Kerja

Kertas kerja harus akurat dan lengkap

1. Tidak ada pertanyaan signifikan

dalam lingkup atau yang berhubungan dengan tujuan

audit yang tidak dapat terjawab.

26

2. Kertas kerja harus berdiri

sendiri, dalam hal ini harus dinyatakan secara

jelas bahwa pekerjaan telah dilaksanakan,

bagaimana dan dari mana sampel dipilih, tujuan

kertas kerja, temuan apa saja yang telah dibuat,

dan lain-lain.

Setiap bagian dari kertas kerja harus terdiri dari:

1. Gambaran judul

2. Identifikasi sumber jika jelas

3. Tanggal persiapan auditor awal

4. Nomer indeks kertas kerja

7. Prinsip Laporan Audit

Hasil Laporan audit merupakan media yang dipakai oleh

auditor dalam berkomunikasi dengan klien. Laporan audit

berupa komunikasi dan ekspresi auditor terhadap objek yang

diaudit agar laporan atau ekspresi auditor tadi dapat

dimengerti maka laporan itu harus mampu dipahami oleh

penggunanya.

Laporan audit ini terdiri dari:

1. Maksud dan tujuan dari review pengendalian terhadap

penerapan TI di klien.

27

2. Ruang lingkup dan referensi pengendalian yang

digunakan sebagai bahan acuan penilaian pengendalian

TI yang diterapkan dalam klien.

3. Metodologi review merupakan langkah-langkah audit

dan teknik pemerolehan informasi untuk mendukung

laporan review.

4. Pernyataan penjelasan hasil review:

a. Permasalahan, menjelaskan pokok masalah yang saat

ini dihadapi oleh klien.

b. Temuan, menjelaskan bukti audit untuk mendukung

kesimpulan masalah.

c. Kriteria/standar, menjelaskan pengendalian yang

seharusnya diterapkan oleh klien.

d. Kondisi, menjelaskan sebab dan akibat serta

aktifitas/kegiatan terkini.

e. Risiko, menjelaskan potensi dan dampak negatif

terhadap hilangnya atau tidak diterapkannya

pengendalian.

f. Tanggapan manajemen, menjelaskan komentar dan

tanggapan manajemen terhadap permasalahan dan temuan

yang telah disampaikan.

g. Rekomendasi, menjelaskan saran-saran perbaikan

dan implementasi penge pengendalian yang harus

diterapkan dalam kegiatan/aktifitas klien.

28

Pelaksanaan audit system informasi dilaksanakan

berdasarkan risk-based approach dengan mengacu pada:

1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65

2. COBIT 4.0

3. ISO 17799:2005

4. best practices lainnya (ISACA Guidelines, CISA 2007, COSO,

Sarbanes-Oxley Act, SANS) Pelaksanaan audit dilakukan dengan

Cara yang dapat dilaksanakan adalah:

1. Penyampaian kuisioner

a. Kuisioner Pengendalian Sistem Informasi

b. Kuisioner I – Analisis Pengelolaan Teknologi

Informasi, Management Awareness

c. Kuisioner II – Analisis Pengelolaan Teknologi

Informasi, Information Technology Controls Diagnostic

2. Wawancara

3. Observasi

a. Major application

b. Infrastruktur pendukung data center: air

conditioning, smoke detector, fire extinguisher,

hydrant, dll.

c. Sistem Operasi

d. Database

e. Internet, LAN, WAN

29

f. Perangkat Keras dan Lunak

g. Kebijakan dan Standard Operation Procedure

4. Studi kebijakan, prosedur, dan dokumentasi

5. Pengujian dengan menggunakan perangkat lunak

Referensi Control Objective for Information and related Technology

(COBIT):

1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)

Aset informasi suatu entitas seperti perangkat keras

(hardware), perangkat lunak (software), sumber daya manusia,

file/data dan fasilitas Teknologi Informasi lainnya

harus dijaga dengan sistem pengendalian internal yang

baik agar tidak terjadi misefisiensi, mis-efektifitas,

dan penyalahgunaan aset entitas. Dengan demikian

sistem pengamanan aset sistem informasi merupakan

suatu hal yang sangat penting yang harus dipenuhi oleh

entitas.

2. Efektifitas sistem

Efektifitas sistem informasi entitas memiliki peranan

penting dalam proses pengambilan keputusan

usaha/bisnis. Suatu sistem informasi dapat dikatakan

efektifbila sistem informasi memberikan manfaat dan

ketepatgunaan teknologi informasi dalam operasi dan

administrasi.

3. Efisiensi sistem

30

Efisiensi menjadi sangat penting ketika sumber daya

kapasitas yang dimiliki oleh entitas terbatas. Jika

cara kerja dari sistem aplikasi komputer menurun maka

pihak manajemen, dalam hal ini mewakili entitas, harus

mengevaluasi apakah efisiensi sistem masih memadai

atau harus menambah sumber daya, karena suatu sistem

dapat dikatakan efisien jika sistem informasi dapat

memenuhi kebutuhan user dengan sumber daya informasi

yang minimal.

4. Memberikan dan mengelola ketersediaan layanan sistem

informasi (Availability) Berhubungan dengan ketersediaan

dukungan/layanan teknologi informasi. Teknologi

Informasi hendaknya dapat mendukung secara

berkelanjutan terhadap proses usaha/bisnis entitas.

Makin sering terjadi gangguan (system downtime) maka

berarti tingkat ketersediaan sistem rendah.

5. Menjaga kerahasiaan (Confidentiality)

Fokus kerahasiaan disini ialah perlindungan terhadap

informasi dan supaya terlindung dari akses dari pihak-

pihak yang tidak berwenang dan bertanggungjawab.

6. Meningkatkan kehandalan (Reability)

Berhubungan dengan kesesuaian dan keakuratan bagi

manajemen dalam pengelolaan organ isasi, pelaporan dan

pertanggungjawaban.

7. Menjaga integritas data (Data Integrity)

31

Integritas data adalah salah satu konsep dasar sistem

informasi. Data memiliki atributatribut seperti:

kelengkapan, kebenaran, dan keakuratan. Jika

integritas data tidak terpelihara, maka suatu entitas

tidak akan lagi memiliki informasi/laporan yang benar,

bahkan entitas dapat menderita k kerugian karena

pengawasan yang tidak tepat atau keputusan-keputusan

yang

salah. Faktor utama yang membuat data berharga bagi

entitas dan pentingnya untuk menjaga integritas data

adalah:

a. Makna penting data/informasi bagi pengambilan

keputusan adalah peningkatan kualitas data sehingga

dapat memberikan informasi bagi para pengambil

keputusan.

b. Nilai data bagi pesaing entitas, jika data tersebut

berguna bagi pesaing maka kehilangan data akan

memberikan dampak buruk bagi entitas. Pesaing dapat

menggunakan data tersebut untuk mengalahkan entitas

saingannya sehingga mengakibatkan entitas menjadi

kehilangan pasar, berkurangnya keuntungan, dan

sebagainya.

8. Menaati seluruh peraturan dan aturan yang ada dan

berlaku saat ini, baik itu di internal dan eksternal

organisasi/entitas (Compliance)

32

Ketaatan terhadap peraturan yang berlaku baik itu

didalam dan luar entitas memberikan dampak positif

dan bernilai tambah guna memberikan keyakinan yang

cukup bagi para pihak yang berkepentingan entitas

khususnya para regulator bahwa entitas menerapkan

prinsip kehati-hatian dengan tidak meniadakan prinsip

biayamanfaat dalam melakukan kegiatan usaha/bisnis

entitas khususnya kegiatan teknologi informasi.

33