Docstoc

Auditing dan Sistem Informasi

Document Sample
Auditing dan Sistem Informasi Powered By Docstoc
					BAB 1
Auditing dan Sistem Informasi




1.1 Pengantar


        Perkembangan sistem informasi yang digunakan oleh klien berdampak dengan
keahlian yang harus dikuasai oleh auditor yang semula pendekatan yang dilakukan
dengan cara manual maka dengan perubahan tersebut auditor dituntut untuk menguasai
proses sistem informasi yang dipakai klien dan Teknik Audit Berbantuan Komputer
(TABK) dengan menyesuaikan proses audit dan prosedur yang digunakan pada saat
melaksanakan pekerjaan lapangan misalnya perubahan lingkungan sistem akuntansi yang
manual menjadi sistem informasi akuntansi berbasis komputer menyebabkan auditor
harus mempelajari karaktristik lingkungan sistem tersebut. Agar pelaksanaan auditing
dapat berjalan dengan efektif dan efisien, auditor sudah seharusnya menyesuaikan teknik-
teknik auditnya dengan sistem informasi klien.
Untuk memperoleh pemahaman tentang efinisi audit, type-type audit, jenis-jenis auditor,
pengetahuan sistem, informasi, berikut akan dibahas secara rinci.


1.2. Definisi Audit


      Ada beberapa definisi audit yang diberikan oleh beberapa ahli di bidang akuntansi,
antara lain:
Menurut Alvin A.Arens dan James K.Loebbecke :
     “Auditing is the accumulation and evaluation of evidence about information to
     determine and report on the degree of correspondence between the information and
     established criteria. Auditing should be done by a competent independent person”.


Menurut Mulyadi :
     “Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara obyektif
     mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan



                                                                                         1
     tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut
     dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada
     pemakai yang berkepentingan”.


Dalam melaksanakan audit faktor-faktor berikut harus diperhatikan:
   1.   Dibutuhkan informasi yang dapat diukur dan sejumlah kriteria (standar) yang
        dapat digunakan sebagai panduan untuk mengevaluasi informasi tersebut,

   2. Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas untuk
        menentukan lingkup tanggungjawab auditor,

   3. Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup untuk
        memenuhi tujuan audit,

   4. Kemampuan auditor memahami kriteria yang digunakan serta sikap independen
        dalam mengumpulkan bahan bukti yang diperlukan untuk mendukung kesimpulan
        yang akan diambilnya.




1.3. Tipe-tipe Audit


        Audit pada umumnya dibagi menjadi tiga golongan, yaitu : audit laporan
keuangan, audit kepatuhan, dan audit operasional.
   1. Audit laporan keuangan (financial statement audit). Audit laporan keuangan
        adalah audit yang dilakukan oleh auditor eksternal maupun internal terhadap
        laporan keuangan auditee untuk memberikan pendapat apakah laporan keuangan
        tersebut disajikan sesuai dengan kriteria-kriteria yang telah ditetapkan. Hasil audit
        lalu dibagikan kepada pihak luar perusahaan seperti kreditor, pemegang saham,
        dan kantor pelayanan pajak.
   2. Audit kepatuhan (compliance audit). Audit ini bertujuan untuk menentukan
        apakah yang diperiksa sesuai dengan kondisi, peratuan, dan undang-undang
        tertentu. Kriteria-kriteria yang ditetapkan dalam audit kepatuhan berasal dari
        sumber-sumber yang berbeda. Contohnya ia mungkin bersumber dari manajemen


                                                                                           2
       dalam bentuk prosedur-prosedur pengendalian internal. Audit kepatuhan dapat
       dilakukan oleh auditor internal maupun eksternal.
   3. Audit operasional (operational audit). Audit operasional merupakan penelahaan
       secara sistematik aktivitas operasi organisasi dalam hubungannya dengan tujuan
       tertentu. Dalam audit operasional, auditor diharapkan melakukan pengamatan
       yang obyektif dan analisis yang komprehensif terhadap operasional-operasional
       tertentu.


   Tujuan audit operasional adalah untuk :
       1. Menilai kinerja, kinerja dibandingkan dengan kebijakan-kebijakan, standar-
           standar, dan sasaran-sasaran yang ditetapkan oleh manajemen
       2. Mengidentifikasikan peluang dan
       3. Memberikan rekomendasi untuk perbaikan atau tindakan lebih lanjut. Pihak-
           pihak yang mungkin meminta dilakukannya audit operasional adalah
           manajemen dan pihak ketiga. Hasil audit operasional diserahkan kepada pihak
           yang meminta dilaksanakannya audit tersebut.


1.4. Jenis-jenis Auditor


       Auditor biasanya diklasifikasikan dalam dua kategori berdasarkan siapa yang
mempekerjakan mereka, yaitu : Auditor eksternal, dan auditor internal,
   1. Auditor eksternal. Audit eksternal merupakan pihak luar yang bukan merupakan
       karyawan perusahaan, berkedudukan independen dan tidak memihak baik
       terhadap auditeenya maupun terhadap pihak-pihak yang berkepentingan dengan
       auditeenya (pengguna laporan keuangan). Auditor eksternal dapat melakukan
       setiap jenis audit.

   2. Auditor Internal. Auditor internal adalah pegawai dari perusahaan yang diaudit,
       auditor ini melibatkan diri dalam suatu kegiatan penilaian independen dalam
       lingkungan perusahaan sebagai suatu bentuk jasa bagi perusahaaan.. Fungsi
       dasar dari Internal Audit adalah suatu penilaian, yang dilakukan oleh pegawai
       perusahaan yang terlatih mengenai ketelitian, dapat dipercayainya, efisiensi, dan


                                                                                       3
kegunaan catatan-catatan (akutansi) perusahaan, serta pengendalian intern yang
terdapat dalam perusahaan. Tujuannya adalah untuk membantu pimpinan
perusahaan (manajemen) dalam melaksanakan tanggungjawabnya dengan
memberikan analisa, penilaian, saran, dan komentar mengenai kegiatan yang di
audit. Untuk mencapai tujuan tersebut, internal auditor melakukan kegiatan–
kegiatan berikut:
 Menelaah dan menilai kebaikan, memadai tidaknya dan penerapan sistem
    pengendalian manajemen, struktur pengendalian intern, dan pengendalian
    operasional lainnya serta mengembangkan pengendalian yang efektif dengan
    biaya yang tidak terlalu mahal,
 Memastikan ketaatan terhadap kebijakan, rencana dan prosedurprosedur yang
    telah ditetapkan oleh manajemen
 Memastikan seberapa jauh harta perusahaan dipertanggungjawabkan dan
    dilindungi dari kemungkinan terjadinya segala bentuk pencurian, kecurangan
    dan penyalahgunaan
 Memastikan bahwa pengelolaan data yang dikembangkan dalam organisasi
    dapat dipercaya
 Menilai mutu pekerjaan setiap bagian dalam melaksanakan tugas yang
    diberikan oleh manajemen
 Menyarankan perbaikan-perbaikan operasional dalam rangka meningkatkan
    efisensi dan efektifitas
Dari kegiatan-kegiatan yang dilakukannya tersebut dapat disimpulkan bahwa
internal auditor antara lain memiliki peranan dalam :
 Pencegahan Kecurangan (Fraud Prevention),
 Pendeteksian Kecurangan (Fraud Detection), dan
 Penginvestigasian Kecurangan (Fraud Investigation).




                                                                             4
1.5. Pengertian sistem


       Sistem adalah suatu kesatuan yang terdiri dari dua atau lebih komponen atau
subsistem yang berinteraksi untuk mencapai suatu tujuan (Barry E. Cushing, 1974).
       Sistem adalah suatu grup dari elemen-elemen baik berbentuk fisik maupun bukan
fisik yang menunjukan suatu kumpulan saling berhubungan di antaranya dan berinteraksi
bersama-sama menuju satu atau lebih tujuan, sasaran atau akhir dari sistem (M. J
Alexander, 1974).
       Stephen A. Moscove dan Mark G (1984) mendefinisikan sistem sebagai berikut:
Sistem adalah suatu kesatuan yang terdiri dari dari interaksi subsistem yang berusaha
untuk mencapai tujuan yang sama.
       Menurut O’Brien, sistem merupakan sekumpulan komponen-komponen yang
saling berhubungan dan bekerja sama untuk mencapai tujuan bersama, dengan menerima
masukan dan menghasilkan pengeluaran melalui proses transformasi yang terorganisir.
       Menurut      Mathiassen,    system   adalah    sekumpulan    komponen        yang
mengimplementasikan kebutuhan pemodelan fungsi dan antar muka.
       Dari definisi-definisi diatas dapat ditarik kesimpulan bahwa sistem adalah
kumpulan dari komponen-komponen atau subsistem-subsistem yang saling berinteraksi
dan berhubungan membentuk satu kesatuan untuk mencapai tujuan atau sasaran sistem
tersebut. Misalnya, sistem akuntansi dapat terdiri dari beberapa susbsistem-subsistem,
yaitu subsistem akuntansi penjualan, subsistem akuntansi pembelian, subsistem akuntansi
penggajian, subsistem akuntansi biaya dan sebagainya. Bahkan sistem akuntansi itu
sendiri merupakan subsistem dari sistem yang lebih besar.



1.6. Pengertian Informasi
       Menurut Kenneth C. Laudon dan Jane Price Laudon (1999), informasi adalah data
yang telah dibentuk menjadi suatu bentuk yang mempunyai arti dan bermanfaat bagi
umat manusia.




                                                                                       5
       Menurut John Burch dan Gary Grudnitski (1986), informasi adalah data yang
telah diletakan dalam konteks yang lebih berarti dan berguna yang dikomunikasikan
kepada penerima untuk digunakan di dalam pembuatan keputusan.
       Menurut O’Brien, informasi adalah adata yang telah diubah ke dalam sebuah
bentuk yang mempunyai arti dan berguna bagi pemakai tertentu atau khusus.
       Menurut Mcleod, informasi adalah data yang telah diproses sehingga menjadi
data yang mempunyai arti dan berguna bagi pemakainya.


       Dari beberapa definisi tersebut dapat disimpulkan bahwa informasi (Jogiyanto
1999) adalah:
       1. data yang diolah
       2. menjadi bentuk yang lebih berguna (relevan, akurat, dan tepat waktu) dan
           lebih berarti bagi yang menerimanya.
       3. menggambarkan suatu kejadian-kejadian (event) dan suatu kesatuan yang
           nyata (fact dan entity).
       4. digunakan untuk pengambilan keputusan.



       Sumber dari informasi adalah data. Data merupakan kenyataan yang
menggambarkan suatu kejadian-kejadian dan kesatuan nyata. Data merupakan bentuk
yang masih mentah yang perlu diolah lebih lanjut melalui suatu model untuk dihasilkan
informasi. Kemudian dari informasi tersebut digunakan untuk membuat keputusan dan
melakukan tindakan. Kejadian-kejadian (event) adalah sesuatu yang terjadi pada saat
yang tertentu. Kesatuan (fact dan entity) adalah berupa suatu obyek nyata seperti tempat,
benda dan orang yang betul-betul ada dan terjadi.



1.7. Pengertian Sistem Informasi
       Menurut James B. Bower, Robert E. Schlosser dan Maurice S. Newman (1985):
suatu sistem informasi adalah suatu cara      yang sudah tertentu untuk menyediakan
informasi yang dibutuhkan oleh organisasi untuk beroperasi dengan cara yang sukses dan
untuk organisasi bisnis dengan cara yang menguntungkan.


                                                                                        6
       Sedangkan menurut John F. Nash dan Martin B. Roberts (1984): suatu sistem
informasi adalah suatu kombinasi dari orang-orang, fasilitas, teknologi, media, prosedur-
prosedur dan pengendalian yang ditujukan untuk mendapatkan jalur komunikasi penting,
memproses tipe transaksi rutin tertentu, memberi sinyal kepada manajemen dan yang
lainnya terhadap kejadian-kejadian internal dan ekstenal yang penting dan menyediakan
suatu dasar untuk pengambilan keputusan yang cerdik.


1.8. Pengertian Teknologi Informasi
       Teknologi Informasi adalah suatu hardware (perangkat keras) dan software
(perangkat lunak) yang digunakan oleh sistem informasi, hardware atau perangkat keras
merupakan peralatan fisik yang terlibat dalam pemrosesan informasi seperti computer,
workstation, peralatan jaringan, tempat penyimpanan data serta peralatan transmisi.
Software adalah program computer yang menginterpretasikan apa yang harus dilakukan.
       Teknologi Informasi adalah teknologi computer untuk memproses dan
menyimpan informasi, sama baiknya dengan teknologi komunikasi untuk transmisi
informasi




1.9. Audit SI


       Audit sebuah system teknologi informasi untuk saat ini adalah sebuah keharusan.
Audit perlu dilakukan agar sebuat system mampu memenuhi syarat IT Governance. Audit
system informasi adalah cara untuk melakukan pengujian terhadap system informasi yang
ada di dalam organisasi untuk mengetahui apakah system informasi yang dimiliki telah
sesuai dengan visi, misi dan tujuan organisasi, menguji performa system informasi dan
untuk mendeteksi resiko-resiko dan efek potensial yang mungkin timbul.




                                                                                       7
Metodologi Audit IT
       Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai
melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.
       Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya
mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit
berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing
Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi
penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.


Langkah dasar Audit SI


       Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
komputer berjalan semestinya. Tujuh langkah proses audit:
   1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control
       practice yang dapat disepakati semua pihak.
   2. Tetapkan langkah-langkah audit yang rinci.
   3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
   4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
   5. Telaah apakah tujuan audit tercapai.
   6. Sampaikan laporan kepada pihak yang berkepentingan.
   7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control
       practice.


       Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan
terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan
tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode
audit. Metodologi audit:
           1. Audit subject. Menentukan apa yang akan diaudit.



                                                                                          8
          2. Audit objective. Menentukan tujuan dari audit.
          3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang
             secara spesifik/khusus akan diaudit.
          4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang
             dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk
             menunjang audit, menentukan lokasi audit.
          5. Audit procedures and steps for data gathering. Menentukan cara
             melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa
             yang akan diwawancara.
          6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
          7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap
             organisasi.
          8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil
             audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan
             kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak
             baku, tapi umumnya terdiri atas:
          o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
          o Kesimpulan umum dari auditor.
          o Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan
             kontrol layak atau tidak
          o Rekomendasi. Tanggapan dari manajemen (bila perlu).
          o Exit interview. Interview terakhir antara auditor dengan pihak manajemen
             untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut.
             Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih


1.10. Perkembangan Pendekatan Audit Sistem Informasi


      Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan
komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap
pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam




                                                                                        9
memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi
Akuntansi yaitu (Watne, 1990) :
   1. Auditing Around The Computer. Pendekatan ini merupakan pendekatan yang
       mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang
       digunakan oleh perusahaan diperlakukan sebagai Black Box. Asumsi yang
       digunakan dalam pendekatan ini adalah bila sampel output dari suatu sistem
       ternyata benar berdasarkan masukan sistem tadi, maka pemrosesannya tentunya
       dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan
       pemeriksaan di sekitar komputer saja.
   2. Auditing With The Computer. Pendekatan ini digunakan untuk mengotomatisati
       banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam
       melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini
       menggunakan perangkat lunak Generalized Audit Software, yaitu program audit
       yang berlaku umum untuk berbagai klien.
   3. Auditing Through The Computer. Pendekatan ini lebih menekankan pada langkah
       pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer.
       Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang
       dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan
       dan penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya
       diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak
       audit yang memadai.



1.11. Tahap-tahap Audit Sistem Informasi


Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-
tahap audit terdiri dari 5 tahap sebagai berikut :
1. Tahap pemeriksaan pendahuluan
2. Tahap pemeriksaan rinci.
3. Tahap pengujian kesesuaian.
4. Tahap pengujian kebenaran bukti.



                                                                                  10
5. Tahap penilaian secara umum atas hasil pengujian.




1. Tahap Pemeriksaan Pendahuluan.


           Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan,
    auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik
    yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat
    penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga
    mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian
    terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor
    dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari
    penugasan audit.


2. Tahap Pemeriksaan Rinci.


       Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk
memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus
dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai
dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya
atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor
dalam menentukan langkah selanjutnya.


3. Tahap Pengujian Kesesuaian.
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi.
Informasi yang digunakan berada dalam file data yang biasanya harus diambil
menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan
pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs
digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu
sendiri.




                                                                                      11
          .




4. Tahap Pengujian Kebenaran Bukti.


          Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti
yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all.
1981) :
1. Mengidentifikasi kesalahan dalam pemrosesan data
2. Menilai kualitas data
3. Mengidentifikasi ketidakkonsistenan data
4. Membandingkan data dengan perhitungan fisik
5. Konfirmasi data dengan sumber-sumber dari luar perusahaan.


5. Tahap Penilaian Secara Umum atas Hasil Pengujian.


Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang
diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut
akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan.


Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan
audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan
perusahaan, yang mencakup : (1) pengendalian umum, (2) pengendalian aplikasi, yang
terdiri dari : (a) pengendalian secara manual, (b) pengendalian terhadap output sistem
informasi, dan (c) pengendalian yang sudah diprogram.


5.1. Pengendalian Umum.
Pemahaman Pengendalian Umum
Pengendalian umum pada perusahaan biasanya dilakukan terhadap aspek fisikal maupun
logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan aspek logikal




                                                                                   12
biasanya terhadap sistem informasi di level manajemen (misal: sistem operasi).
Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya adalah:
Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan organisasi disini adalah secara umum terdapat pemisahan tugas
dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Disini
juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah
diotorisasi oleh administrator.
Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan
sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang
diharapkan.
Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi juga harus dikendalikan.
Termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi,serta
manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas
sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan
pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).
5.2. Pengendalian Aplikasi.
Pemahaman Pengendalian Aplikasi
Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian yang
didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang
diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik.
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif. Artinya
apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan
jelek juga, sedangkan bila pengendalian umum terbukti baik, maka diasumsikan
pengendalian aplikasinya juga baik.
Macam Aplikasi




                                                                                        13
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi
dua tipe dalam perusahaan untuk kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang
belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri
sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada
fungsi akuntansi dan keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah
menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur
sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka
(interface) untuk mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi beberapa:
1. Organisasi Aplikasi
2. Akses Aplikasi
3. Input
4. Proses
5. Output
6. Master File/Database
Pemahaman atas Pengendalian Organisasi dan Akses Aplikasi
Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian aplikasi:
organisasi dan akses. Pada pengendalian organisasi, hampir sama dengan pengendalian
umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa
pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika saja untuk
menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based
menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang
mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat
dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan
sandi nya.
Pemahaman atas Pengendalian Input




                                                                                      14
Modul ini melanjutkan pengendalian akses dari modul 3.0b, yang pertama melihat pada
proses
pengendalian input. Inti dari pengendalian input adalah memastikan data-data yang
dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi. Beberapa
pengendalian input otomatis yang biasa diprogram:
Validation checks
   1. Format checks: sesuai dengan format yang ditentukan
   2. Range and limit checks
   3. Check digits
   4. Validity checks (lookup)
   5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang
terhubungkan, contoh: penerimaan barang dengan tagihan
Pemahaman atas Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi,
dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang
permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master.
Adapun tipe pengendalian proses adalah sebagai berikut:
   1. Run to run control
   2. Pivot totals
   3. Control/Hash totals: non numerical control
   4. Control accounts
   5. Data file control: menghitung instan entitas
   6. Transaction validation control
   7. File reconciliation control
Pemahaman atas Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun
manual (kasat mata) jika output yang dihasilkan juga kasat mata.



                                                                                      15
Beberapa tipe pengendalian output:
    1. Ekspektansi output (logs)
    2. Kelengkapan output (misal dengan no halaman)
    3. Pengendalian atas spooled output
    4. Reasonableness
    5. Output rutin
    6. Distribusi output
    7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable
    8. SQL output
Pemahaman atas Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan
diketemukan anomali-anomali, seperti:
        Anomaly penambahan
        Anomaly penghapusan
        Anomaly pemuktahiran/pembaruan




6. PENGENALAN KERTAS KERJA


Kertas Kerja:
Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang diterapkan,
pelaksanaan pengujian dan bukti yang diperoleh serta kesimpulan yang diperoleh selama
audit.
Kertas kerja merupakan pendukung utama laporan audit, alat koordinasi dan supervisi,
bukti bahwa auditor telah melakukan audit sesuai dengan standar auditing yang
Berterima umum.


Tujuan Kertas Kerja:
            Untuk mendokumentasikan semua bukti audit yang diperoleh selama
             pelaksanaan audit.




                                                                                            16
         Untuk mengorganisasikan/mengkoordinasikan semua tahap atau langkah-
          langkah audit.
         Untuk membantu auditor senior, partner atau pimpinan kantor akuntan dalam
          mereview pekerjaan yang dihasilkan oleh stafnya.
         Untuk mempermudah atau sebagai dasar penyusunan laporan audit
         Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta temuan-
          temuan yang telah dilaporkan dalam laporan audit.


Pedoman Pembuatan Kertas Kerja
         Setiap kertas kerja harus bertujuan
         Setiap topik dibuatkan kertas kerja sendiri
         Indentitas (judul) yang jelas
         Diberi indeks atau indeks silang
         Semua langkah (prosedur audit) harus dijelaskan
         Berisi komentar auditor yang mencerminkan kesimpulan
         Ada paraf dan tanggal pembuatan/evaluasi
         Penyimpanan terpisah antara yang sudah selesai dengan yang belum selesai


Jenis Kertas Kerja
         Kertas kerja neraca saldo
         Jadwal dan analisis
         Memo audit dan informasi pendukung
         Jurnal penyesuaian dan pengklasifikasian kembali

STANDAR UMUM KERTAS KERJA


Fungsi Kertas Kerja
         Pendukung pendapat auditor.
         Membantu dalam pengarahan dan pengawasan pekerjaan.
         Penyediaan catatan tentang:
          1. Prosedur audit yang dilakukan.



                                                                                     17
           2. Pengujian yang dilakukan
           3. Informasi yang diperoleh.
           4. Kesimpulan yang dicapai.
          Menyediakan bukti bahwa audit telah diarahkan menurut Standar Profesional
           Audit Internal


Kelengkapan Kertas Kerja
          Kertas kerja harus akurat dan lengkap
           1. Tidak ada pertanyaan signifikan dalam lingkup atau yang berhubungan
              dengan tujuan audit yang tidak dapat terjawab.
           2. Kertas kerja harus berdiri sendiri, dalam hal ini harus dinyatakan secara
              jelas bahwa pekerjaan telah dilaksanakan, bagaimana dan dari mana
              sampel dipilih, tujuan kertas kerja, temuan apa saja yang telah dibuat, dan
              lain-lain.
          Setiap bagian dari kertas kerja harus terdiri dari:
           1. Gambaran judul
           2. Identifikasi sumber jika jelas
           3. Tanggal persiapan auditor awal
           4. Nomer indeks kertas kerja




7. Prinsip Laporan Audit


       Hasil Laporan audit merupakan media yang dipakai oleh auditor dalam
berkomunikasi dengan klien. Laporan audit berupa komunikasi dan ekspresi auditor
terhadap objek yang diaudit agar laporan atau ekspresi auditor tadi dapat dimengerti
maka laporan itu harus mampu dipahami oleh penggunanya.



Laporan audit ini terdiri dari:



                                                                                      18
1. Maksud dan tujuan dari review pengendalian terhadap penerapan TI di klien.
2. Ruang lingkup dan referensi pengendalian yang digunakan sebagai bahan
  acuan penilaian pengendalian TI yang diterapkan dalam klien.

3. Metodologi review merupakan langkah-langkah audit dan teknik pemerolehan
  informasi untuk mendukung laporan review.

4. Pernyataan penjelasan hasil review:
  a. Permasalahan, menjelaskan pokok masalah yang saat ini dihadapi oleh
  klien.
  b. Temuan, menjelaskan bukti audit untuk mendukung kesimpulan masalah.
  c. Kriteria/standar, menjelaskan pengendalian yang seharusnya diterapkan
  oleh klien.

  d. Kondisi, menjelaskan sebab dan akibat serta aktifitas/kegiatan terkini.
  e. Risiko, menjelaskan potensi dan dampak negatif terhadap hilangnya atau
     tidak diterapkannya pengendalian.

  f. Tanggapan manajemen, menjelaskan komentar dan tanggapan manajemen
     terhadap permasalahan dan temuan yang telah disampaikan.

     g.         Rekomendasi, menjelaskan saran-saran perbaikan dan implementasi
     penge pengendalian yang harus diterapkan dalam kegiatan/aktifitas klien.



Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based approach
dengan mengacu pada:
1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65
2. COBIT 4.0

3. ISO 17799:2005

4. best practices lainnya (ISACA Guidelines, CISA 2007, COSO, Sarbanes-Oxley
   Act, SANS) Pelaksanaan audit dilakukan dengan

Cara yang dapat dilaksanakan adalah:
1. Penyampaian kuisioner


                                                                                19
   a. Kuisioner Pengendalian Sistem Informasi
   b. Kuisioner I – Analisis Pengelolaan Teknologi Informasi, Management
     Awareness
   c. Kuisioner II – Analisis Pengelolaan Teknologi Informasi, Information
      Technology Controls Diagnostic
2. Wawancara

3. Observasi

   a. Major application
   b. Infrastruktur pendukung data center: air conditioning, smoke detector, fire
      extinguisher, hydrant, dll.

   c. Sistem Operasi
   d. Database

   e. Internet, LAN, WAN

   f. Perangkat Keras dan Lunak
   g. Kebijakan dan Standard Operation Procedure
4. Studi kebijakan, prosedur, dan dokumentasi
5. Pengujian dengan menggunakan perangkat lunak




Referensi Control Objective for Information and related Technology (COBIT):
1. Mengamankan Aset Sistem Informasi (Assets Safeguarding)
  Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat
  lunak (software), sumber daya manusia, file/data dan fasilitas Teknologi
  Informasi lainnya harus dijaga dengan sistem pengendalian internal yang baik
  agar tidak terjadi misefisiensi, mis-efektifitas, dan penyalahgunaan aset
  entitas. Dengan demikian sistem pengamanan aset sistem informasi merupakan
  suatu hal yang sangat penting yang harus dipenuhi oleh entitas.



                                                                               20
2. Efektifitas sistem
  Efektifitas sistem informasi entitas memiliki peranan penting dalam proses
  pengambilan keputusan usaha/bisnis. Suatu sistem informasi dapat dikatakan
  efektifbila sistem informasi memberikan manfaat dan ketepatgunaan teknologi

  informasi dalam operasi dan administrasi.

  3.     Efisiensi sistem

  Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang dimiliki
  oleh entitas terbatas. Jika cara kerja dari sistem aplikasi komputer menurun
  maka pihak manajemen, dalam hal ini mewakili entitas, harus mengevaluasi
  apakah efisiensi sistem masih memadai atau harus menambah sumber daya,
  karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat
  memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

4. Memberikan        dan    mengelola         ketersediaan     layanan      sistem    informasi
  (Availability) Berhubungan dengan ketersediaan dukungan/layanan teknologi
  informasi.      Teknologi       Informasi     hendaknya      dapat     mendukung       secara
  berkelanjutan terhadap proses usaha/bisnis entitas. Makin sering terjadi
  gangguan (system downtime) maka berarti tingkat ketersediaan sistem rendah.

  5.     Menjaga kerahasiaan (Confidentiality)
  Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan supaya
  terlindung      dari   akses     dari   pihak-pihak        yang   tidak     berwenang    dan
  bertanggungjawab.

  6.     Meningkatkan kehandalan (Reability)
  Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam
  pengelolaan organ isasi, pelaporan dan pertanggungjawaban.

  7.     Menjaga integritas data (Data Integrity)

  Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki
  atributatribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas
  data    tidak    terpelihara,    maka    suatu    entitas    tidak   akan    lagi   memiliki



                                                                                             21
  informasi/laporan yang benar, bahkan entitas dapat menderita k kerugian
  karena pengawasan yang tidak tepat atau keputusan-keputusan yang salah.
  Faktor utama yang membuat data berharga bagi entitas dan pentingnya untuk
  menjaga integritas data adalah:
a. Makna    penting    data/informasi   bagi   pengambilan    keputusan    adalah
   peningkatan kualitas data sehingga dapat memberikan informasi bagi para
   pengambil keputusan.

b. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesai ng maka
   kehilangan data akan memberikan dampak buruk bagi entitas. Pesaing dapat
   menggunakan data tersebut untuk mengalahkan entitas saingannya sehingga
   mengakibatkan entitas menjadi kehilangan pasar, berkurangnya keuntungan,
   dan sebagainya.

8. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini, baik itu di
   internal dan eksternal organisasi/entitas (Compliance)

   Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar entitas
   memberikan dampak positif dan bernilai tambah guna memberikan keyakinan
   yang cukup bagi para pihak yang berkepentingan entitas khususnya para
   regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak
   meniadakan prinsip biayamanfaat dalam melakukan kegiatan usaha/bisnis
   entitas khususnya kegiatan teknologi informasi.




                                                                                22

				
DOCUMENT INFO
Lingjuan Ma Lingjuan Ma MS
About work for China Compulsory Certification. Some of the documents come from Internet, if you hold the copyright please contact me by huangcaijin@sohu.com