Add to collection(s) Add to saved
  1. Bisnis
  2. Manajemen

Audit Sistem Informasi Berbasis Komputer

advertisement 
Audit Sistem Informasi Berbasis Komputer
BAB VI
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
A. Sifat Audit
Asosiasi akuntansi Amerika mendefinisikan auditing sebagai berikut :
•
Auditing adalah sebuah proses sistemeatis untuk secara obyektif mendapatkan dan
mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai
ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan
kriteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para
pemakai yang berkepentingan
Auditing
membutuhkan pendekatan
langkah per
langkah
yang
dibentuk
dengan
perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati.
Keterlibatan audit yaitu mengumpulkan, meninjau, dan mendokumentasikan bukti audit.
Standar-standar Audit Internal
1. Berdasarkan According Institute of Internal Auditors (IIA), tujuan dari audit internal
adalah untuk mengevaluasi kecukupan dan efektifitas sistem pengendalian internal
perusahaan.
2. Menetapkan keluasan dari pelaksanaan tanggung jawab yang benar-benar dilakukan.
Standar lingkup audit IIA memberikan garis besar atas tanggung jawab auditor internal :
1. Melakukan tinjauan atas keandalan dan integritas informasi operasional dan keuangan,
serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan dilaporkan.
2. Menetapkan apakah sistem telah didesain untuk sesuai dengan kebijakan operasional
dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang berlaku.
3. Melakukan tinjauan mengenai bagaimana aset dijaga, dan memverifikasi keberadaan
aset tersebut.
4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisien
mereka digunakan.
5. Melakukan tinjauan atas operasional dan program perusahaan, untuk menetapkan
apakah mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi
tujuan-tujuan merek.
Sistem Informasi Akuntansi (SIA) - RDK
38
Audit Sistem Informasi Berbasis Komputer
Terdapat tiga (3) jenis audit yang biasanya dilakukan, yaitu :
1. Audit keuangan
3. Audit operasional atau manajemen
2. Audit sistem informasi
Jenis-jenis Kegiatan Audit Internal
1. Audit keuangan memeriksa keandalan dan integritas catatan-catatan akuntansi (baik
informasi keuangan dan operasional).
2. Audit sistem informasi melakukan tinjauan atas pengendalian SIA untuk menilai
kesesuaiannya dengan kebijakan dan prosedur pengendalian serta efektivitas dalam
menjaga aset perusahaan.
3. Audit operasional atau manajemen berkaitan dengan penggunaan secara ekonomis dan
efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan.
Seluruh audit menggunakan urutan kegiatan yang hampir sama, hingga dapat dibagi ke
dalam empat langkah:
1. Merencanakan audit
a. Tetapkan lingkup dan tujuan
b. Organisasi tim audit
c. Kembangkan pengetahuan mengenai operasional bisnis
d. Tinjauan hasil audit sebelumnya
e. Identifikasi faktor-faktor resiko
f.
Siapkan program audit
2. Mengumpulkan bukti audit
a. Pengamatan atas kegiatan-kegiatan operasional
b. Tinjauan dokumentasi
c. Berdiskusi dengan para pegawai dan kuesioner
d. Pemeriksaan fisik aset
e. Konfirmasi melalui pihak ketiga
f.
Melakukan ulang prosedur
g. Pembuktian dengan dokumen sumber
h. Review analitis dan pengambilan sampel audit
3. Mengevaluasi bukti audit
a. Nilai kualitas pengendalian internal
b. Nilai keandalan informasi
c. Nilai kinerja operasional
Sistem Informasi Akuntansi (SIA) - RDK
39
Audit Sistem Informasi Berbasis Komputer
d. Pertimbangkan kebutuhan atas bukti tambahan
e. Pertimbangkan faktor-faktor resiko
f.
Pertimbangkan faktor-faktor materialitas
g. Dokumentasikan penemuan-penemuan audit
4. Mengkomunikasikan hasil audit
a. Memformulasikan kesimpulan audit
b. Membuat rekomendasi bagi pihak manajemen
c. Mempersiapkan laporan audit
d. Menyajikan hasil-hasil audit ke pihak manajemen
B. Audit Sistem Informasi
Tujuan audit SIA adalah untuk meninjau dan mengevaluasi pengendalian internal yang
melindungi sistem tersebut.
Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan
berikut ini dipenuhi :
1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan
data dari akses yang tidak sah, modifikasi, atau penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus
dan umum dari pihak manajemen.
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan
lengkap.
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi
dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
Pendekatan Audit Berdasarkan Risiko
Pendekatan berdasarkan risiko untuk audit memberikan para auditor pemahaman yang jelas
atas kesalahan dan ketidak berturan yang dapat terjadi dan risiko serta penyingkapan yang
terkait.
Pemahaman atas hal ini memberikan dasar yang kuat untuk mengembangkan rekomendasi
pada pihak manajemen mengenai bagaimana sistem pengendalian SIA seharusnya
ditingkatkan.
Sistem Informasi Akuntansi (SIA) - RDK
40
Audit Sistem Informasi Berbasis Komputer
Pendekatan empat tahap evaluasi pengendalian internal:
1. Tentukan ancaman-ancaman yang dihadapi SIA.
2. Identifikasi prosedur pengendalian yang diimplementasikan untuk meminimalkan setiap
ancaman dengan mencegah atau mendeteksi kesalahan dan ketidak beraturan.
3. Evaluasi prosedur pengendalian.
4. Evaluasi kelemahan (kesalahan dan ketidak-beraturan yang
tidak terungkap oleh
prosedur pengendalian).
Kerangka untuk Audit Keamanan Komputer
Jenis-jenis Kesalahan dan Penipuan:
1. Pencurian atau kerusakan yang tidak disengaja atas hardware dan file
2. Kehilangan, pencurian, atau akses tidak sah ke program, file data, dan sumber daya
sistem lainnya
3. Modifikasi atau penggunaan secara tidak sah program dan file data
Jenis-jenis Prosedur Pengendalian:
1. Rencana keamanan/perlindungan informasi
2. Pembatasan atas akses secara fisik ke perlengkapan komputer
3. Pengendalian penyimpanan dan pengiriman data seperti enkripsi
4. Prosedur perlindungan dari virus
5. Menggunakan firewall
6. Rencana pemulihan dari bencana
7. Pemeliharaan pencegahan
8. Asuransi sistem informasi
Prosedur Audit: Tinjauan atas Sistem
1. Menginspeksi lokasi komputer
2. Wawancara dengan personil sistem informasi mengenai prosedur keamanan
3. Meninjau kebijakan dan prosedur
4. Memeriksa kebijakan asuransi apabila terjadi bencana atas sistem informasi
5. Memeriksa daftar akses sistem
6. Memeriksa rencana pemulihan dari bencana
Prosedur Audit: Uji Pengendalian
1. Mengamati prosedur akses ke lokasi komputer
2. Memverifikasi bahwa terdapat pengendalian dan pengendalian tersebut berfungsi seperti
dengan yang diharapkan
Sistem Informasi Akuntansi (SIA) - RDK
41
Audit Sistem Informasi Berbasis Komputer
3. Menginvestigasi berbagai kesalahan atau masalah untuk memastikan mereka ditangani
dengan benar
4. Memeriksa berbagai uji yang sebelumnya telah dilaksanakan
Pengendalian Pengimbang:
1. Kebijakan yang baik dalam hal personalia
2. Penggunaan pengendalian secara efektif
3. Pemisahan pekerjaan yang tidak boleh disatukan
Kerangka untuk Audit Pengembangan Program
Jenis-jenis Kesalahan dan Penipuan:
1. Kesalahan pemrograman yang tidak disengaja
2. Kode program yang tidak sah
Jenis-jenis Prosedur Pengendalian:
1. Otorisasi manajemen atas pengembangan program dan persetujuannya untuk
spesifikasi pemrograman
2. Persetujuan pemakai atas spesifikasi pemrograman
3. Pengujian keseluruhan atas program yang baru
4. Pengujian penerimaan oleh pemakai
5. Dokumentasi sistem yang lengkap
Prosedur Audit : Tinjauan atas sistem :
1. Tinjauan independen dan bersaman atas proses pengembangan sistem
2. Tinjauan prosedur dan kebijakan pengembangan/perolehan sistem
3. Tinjauan otorisasi sistem dan prosedur persetujuannya
4. Tinjauan atas standar evaluasi pemrograman
5. Tinjauan atas standar dokumentasi program
6. Tinjauan atas pengujian program dan prosedur persetujuan pengujian
Prosedur Audit : Uji Pengendalian
1. Wawancara
dengan
pemakai
mengenai
keterlibatan
mereka
dalam
perolehan/pengembangan serta implementasi sistem
2. Tinjauan atas notulen rapat tim pengembangan untuk mendapat bukti keterlibatan
3. Memverifikasi poin-poin penting penolakan manajemen dan pemakai dalam proses
pengembangan
4. Tinjauan atas spesifikasi pengujian, data uji, dan hasil pengujian sistem
Sistem Informasi Akuntansi (SIA) - RDK
42
Audit Sistem Informasi Berbasis Komputer
Pengendalian Pengimbang:
1. Pengendalian pemrosesan yang kokoh (kuat)
2. Pemrosesan secara independen data uji oleh auditor
Kerangka untuk Audit Prosedur Modifikasi Program
Jenis-jenis Kesalahan dan Penipuan:
1. Kesalahan pemrograman yang tidak disengaja
2. Kode program yang tidak sah
Jenis-jenis Prosedur Pengendalian:
1. Daftar berbagai komponen program yang akan dimodifikasi
2. Otorisasi dan persetujuan pihak manajemen atas modifikasi program
3. Persetujuan pemakai atas perubahan spesifikasi program
4. Pengujian keseluruhan atas perubahan program, termasuk uji penerimaan pemakai
Prosedur Audit: Tinjauan atas Sistem
1. Tinjau kebijakan, standar, dan prosedur modifikasi program
2. Tinjau standar dokumentasi untuk modifikasi program
3. Tinjau pengujian modifikasi program serta uji prosedur pemberian persetujuan
4. Diskusikan kebijakan dan prosedur modifikasi program dengan pihak manajemen,
pemakai sistem, dan personil sistem informasi
Prosedur Audit : Uji Pengendalian
1. Verifikasi pemakai dan persetujuan manajemen sistem informasi atas perubahan
program
2. Verifikasi pemakai mengenai keterlibatan dalam perancangan dan omplementasi sistem
3. Memverifikasi poin-poin penting penolakan manajemen dan pemakai dalam proses
pengembangan
4. Tinjauan atas notulen rapat tim pengembangan untuk mendapat bukti keterlibatan
5. Tinjauan atas spesifikasi pengujian, data uji, dan hasil dari pengujian sistem
Pengendalian Pengimbang:
1. Pengendalian pemrosesan yang bagus
2. Uji audit independen untuk perubahan program yang tidak sah atau yang salah
Sistem Informasi Akuntansi (SIA) - RDK
43
Audit Sistem Informasi Berbasis Komputer
Kerangka untuk Melakukan Audit Pengendalian Pemrosesan Komputer
Jenis-jenis Kesalahan dan Penipuan:
1. Kegagalan untuk mendeteksi input data yang salah, tidak lengkap, atau tidak sah
2. Kegagalan untuk memperbaiki kesalahan yang ditandai oleh prosedur edit data dengan
tepat
3. Masuknya kesalahan dalam file atau database selama pembaruan
Jenis-jenis Prosedur Pengendalian:
1. Rutinitas edit data komputer
2. Penggunaan dengan benar label file eksternal dan internal
3. Prosedur perbaikan kesalahan yang efektif
4. Daftar dan ringkasan perubahan file yang disiapkan untuk tinjauan atas departemen
pemakai
Prosedur Audit : Tinjauan Sistem
1. Meninjau dokumentasi administratif untuk standar pengendalian pemrosesan
2. Mengamati operasional komputer dan fungsi pengendalian data
3. Meninjau salinan daftar kesalahan, laporan jumlah total batch, dan daftar perubahan file
Prosedur Audit: Uji Pengendalian
1. Mengevaluasi kecukupan dan kelengkapan pengendalian edit data
2. Memverifikasi kepatuhan pada prosedur pengendalian pemrosesan dengan cara
mengamati operasional komputer dan fungsi pengendalian data
3. Menelusuri pengaturan sampel kesalahan yang ditandai oleh rutinitas edit data untuk
memastikan adanya penanganan yang tepat
4. Mengawasi sistem pemrosesan on-line dengan mengunakan teknik audit bersamaan
Pengendalian Pengimbang:
1. Pengendalian yang kokoh terhadap pemakai
2. Pengendalian data sumber yang efektif
Kerangka untuk Audit Pengendalian Data Sumber
Jenis-jenis Kesalahan dan Penipuan:
1. Data sumber yang tidak akurat
2. Data sumber yang tidak sah
Sistem Informasi Akuntansi (SIA) - RDK
44
Audit Sistem Informasi Berbasis Komputer
Jenis-jenis Prosedur Pengendalian:
1. Otorisasi pemakai atas input data sumber
2. Penanganan input data sumber secara efektif oleh personol pengendalian data
3. Mendaftar penerimaan, perpindahan, dan pemrosesan input data sumber
4. Penggunaan dokumen yang dapat dikirim kembali
Prosedur Audit: Tinjauan Sistem
1. Meninjau dokumentasi administratif atas standar pengendalian data sumber
2. Mendokumentasikan pengendalian data sumber akuntansi dengan menggunakan
sebuah matriks pengendalian input
3. Meninjau dokumentasi sistem akuntansi untuk mengidentifikasi isi data sumber dan
langkah pemrosesan serta pengendalian data sumber tertentu yang digunakan.
Prosedur Audit: Uji Pengendalian
1. Mengamati dan mengevaluasi jalannya departemen pengendalian data dan prosedur
pengendalian data tertentu
2. Merekonsiliasi sebuah sampel jumlah total batch dan menindaklanjuti penyimpangan
3. Memeriksa beberapa sampel data sumber akuntansi dalam hal keberadaan otorisasi
yang memadai
Pengendalian Pengimbang:
1. Pengendalian pemrosesan yang kokoh
2. Pengendalian yang kokoh terhadap pemakai
Kerangka untuk Audit Pengendalian File Data
Jenis-jenis Kesalahan dan Penipuan:
1. Modifikasi atau pengungkapan yang tidak sah atas data yang disimpan
2. Penghancuran atas data yang disimpan akibat kesalahan yang tidak disengaja,
kegagalan fungsi hardware atau software, dan tindakan sengaja untuk melakukan
sabotase atau vandalisme
Jenis-jenis Prosedur Pengendalian:
1. Pengendalian pembaruan bersamaan
2. Penggunaan yang sesuai atas label file dan mekanisme write-protection
3. Penggunaan software perlindungan virus
Sistem Informasi Akuntansi (SIA) - RDK
45
Audit Sistem Informasi Berbasis Komputer
Prosedur Audit: Tinjauan Sistem
1. Memeriksa rencana pemulihan dari bencana
2. Mendiskusikan prosedur pengendalian file data dengan para manajer dan operator
sistem
3. Meninjau kebijakan dan prosedur akses logika
4. Meninjau dokumentasi atas fungsi-fungsi operasional perpustakaan file
Prosedur Audit: Uji Pengendalian
1. Mengamati dan mengevaluasi operasional perpustakaan file
2. Meninjau catatan pemberian dan modifikasi password
3. Mengamati persiapan dan penyimpanan di luar lokasi kantor dari file cadangan
4. Merekonsiliasi jumlah total file utama dengan jumlah total pengendalian yang diproses
secara terpisah
Pengendalian Pengimbang:
1. Pengendalian keamanan komputer secara efektif
2. Pengendalian pemakai yang kokoh
3. Pengendalian pemrosesan yang kokoh
C. Software Komputer
Beberapa program komputer, yang disebut Computer Audit Software (CAS) atau
generalized audit software (GAS), telah dibuat secara khusus untuk auditor.
CAS adalah program komputer yang, berdasarkan spesifikasi dari auditor, menghasilkan
program yang melaksanakan fungsi-fungsi audit.
Pemakaian Software Komputer
Langkah pertama auditor adalah memutuskan tujuan-tujuan audit, mempelajari file serta
databse yang akan diaudit, merancang laporan audit, dan menetapkan bagaimana cara
menghasilkannya.
Informasi ini akan dicatat dalam lembar spesifikasi dan dimasukkan ke dalam sistem melalui
program input data.
Program ini membuat catatan spesifikasi yang digunakan CAS untuk menghasilkan satu
atau lebih program audit.
Sistem Informasi Akuntansi (SIA) - RDK
46
Audit Sistem Informasi Berbasis Komputer
Program audit memproses file-file sumber dan melaksanakan operasional audit yang
dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan.
Fungsi Umum Software Audit Komputer
1. Pemformatan ulang
5. Analisis data
2. Manipulasi file
6. Pemrosesan file
3. Perhitungan
7. Statistik
4. Pemilihan data
8. Pembuatan laporan
D. Audit Operasional atas Suatu Sistm Informasi Akuntansi
Berbagai teknik dan prosedur yang digunakan dalam audit operasional hampir sama dengan
yang diterapkan dalam audit sistem informasi dan keuangan.
Perbedaan utamanya adalah bahwa lingkup audit sistem informasi dibatasi pada
pengendalian internal, sementara lingkup audit keuangan dibatasi pada output sistem.
Sebaliknya, lingkup audit operasional lebih luas, melintasi seluruh aspek manajemen sistem
informasi.
Tujuan audit operasional mencakup faktor-faktor seperti:
1. Efektivitas
2. Efisiensi
3. Pencapaian tujuan.
Pengumpulan bukti mencakup kegiatan-kegiatan berikut ini :
1. Meninjau kebijakan dokumentasi operasional
2. Melakukan konfirmasi atas prosedur dengan pihak manajemen serta personil
operasional
Prosedur pengumpulan bukti:
1. Mengamati fungsi-fungsi dan kegiatan operasional
2. Memeriksa rencana dan laporan keuangan serta operasional
3. Menguji akurasi informasi operasional
4. Menguji pengendalian
Sistem Informasi Akuntansi (SIA) - RDK
47
Download
advertisement