Audit Si Praktisi

Ramlan, POLITEKNIK PRAKTISI Audit Sistem Informasi
S.Kom.,MM.,QIA
Nata Endah-II
Telkom MCC
Alamanda P-114
Cisanggarung No.2
TLP : 5413695 022-70712675
081321773591
1
S.Kom.,MM.,QIA AUDITING
Proses dimana seseorang yang kompeten dan independen
mengumpulkan dan menilai bukti-bukti mengenai informasi yang
dapat dikuantifikasi berkaitan dengan suatu entitas ekonomi tertentu
dengan tujuan untuk menentukan dan melaporkan mengenai tingkat
kesesuaian antara informasi yang dapat dikuantifikasi tersebut
dengan kriteria yang telah ditetapkan.
(Arens dan Loebbecke, “ Auditing PDE” Anies S.M. Basalamah).
Proses sistematis mengenai mendapatkan dan

mengevaluasi secara objektif bukti yang
berkaitan dengan penilaian mengenai berbagai
kegiatan dan peristiwa ekonomi untuk
memastikan tingkat keseuaian antara penilaian-
penilaian tersebut dan membentuk kriteria serta
menyampaikan hasilnya ke para pengguna yang
berkepentingan .
( Hall Singleton “Information Technology Auditing &
Assurance”)
TEMUAN : Kondisi, Kriteria, Akibat, Sebab (Penyebab utama).
2
S.Kom.,MM.,QIA CONTOH HASIL AUDIT
MATRIK TEMUAN HASIL KONFIRMASI
OBJEK AUDIT : AUDIT PENGELOLAAN OPERASIONAL TUNGGAKAN
LOKASI : PELAYANAN BANDUNG
PERIOCE : JANUARI – JUNI 2008
NO. KONDISI KRITERIA ANALISA REKOMENDASI

/TEMUAN (SEBAB-AKIBAT) AUDITOR
1. Total tunggakan Total tunggakan Analisa dan data kelayakan Analisa dan data
sampai dengan maksimum Rp. nasabah tidak akurat. lebih akurat.
bulan Juli-2008 500.000.000,-  Tingginya bad debt. Pelaksanaan
sebesar Rp. (KD No. ..... Tunggakan > 3 bln tidak ketentuan denda
623.850.000,- 2007) diberitahu. perlu dijalankan
Denda belum sepenuh-nya secara konsisten
dijalankan. sesuai dengan KD.....
/ 2007
3
S.Kom.,MM.,QIA JENIS-JENIS AUDIT
FINANCIAL AUDIT : atestasi (pembuktian) independen yang
dilakukan oleh seorang ahli yang menyatakan pendapatnya atas
penyajian laporan keuangan.
 Unqualified (Telah terjadi kerugian yang

material).
 Qualified. (Tidak terjadi kerugian yang material).
 Disclaimer (Pendapat tidak memberikan
pendapat).
MANAGEMENT AUDIT (OPERATIONAL
 Adverse (Menolak/ AUDIT)
lap. Keuangan tidak : audit terhadap
sesuai
kegiatan
PSAK ). oprasi suatu perusahaan, ternasuk kebijakan akuntansi dan
kebijakan operasional yang ditentukan oleh manajemen, untuk
mengetahui apakah kegiatan operasi tersebut sudah dilakukan
secara efektif, efisien, dan ekonomis.
COMPLAIN AUDIT : audit untuk mengetahui apakah perusahaan

sudah mentaati peraturan dan kebijakan yang berlaku, baik yang
ditetapkan oleh internal perusahaan maupun eksternal perusahaan.
S.Kom.,MM.,QIA
INTERNAL AUDIT : audit yang dilakukan oleh bagian internal audit
perusahaan baik terhadap laporan keuangan perusahaan maupun
laporan manajemen (operasional).
EKSTERNAL AUDIT : audit yang dilakukan oleh auditor independen
yang bekerja di luar perusahaan yang diaudit. Auditor eksternal
adalah auditor independen dan disertifikasi sebagai akuntan publik
yang bersetifikasi
FRAUD AUDIT : merupakan area audit terbaru akibat dari penipuan
yang menjadi-jadi oleh karyawan serta penipuan keuangan besar.
SEGITIGA
KECURANGAN
S.Kom.,MM.,QIA LATAR BELAKANG ADANYA
AUDIT SISTEM INFORMASI
Infoamtion
Traditional
System
audit
Management
Information System
Audit
Computer Behavioral
Science Science
6
S.Kom.,MM.,QIA KEBUTUHAN TERHADAP
PENGENDALIAN & AUDIT SISTEM INFORMASI
Mahalnya HW
SW dan BW
Mahalnya
Computer komputer
abuse error
Kesalahan
Salah membuat proses
keputusan ( perhitungan)
Privacy
Biaya
hilangnya data Evolusi komputer
perlu dikendalikan
7
S.Kom.,MM.,QIA DEFINISI
AUDIT SISTEM INFORMASI
Information Systems Auditing is a process of collecting
and evaluating evidence to determine whether a computer
system safeguards assets, maintains data integrity, allows
organizational goals to be achieved effectively, and uses
resources efficiently” (Ron Weber)
Audit Sistem Informasi adalah proses mengumpulkan dan

mengevaluasi bukti untuk menentukan apakah sistem
komputer dapat mengamankan asset, menjaga integritas
data, mencapai tujuan organisasi secara efektif, dan
menggunakan sumber daya secara efisien. (Computer Audit,
EDP Audit, IT- Audit, IS-Audit )
8
S.Kom.,MM.,QIA
TUJUAN AUDIT SISTEM INFORMASI
I S Auditing
Organizations
I mproved I mproved I mproved

I mproved
Safeguarding System System
Data I ntegrity
of Assets Effectiveness Efficiency
(sumber : Ron Weber “Information Systems

Control & Audit”)
S.Kom.,MM.,QIA
METODOLOGI AUDIT SISTEM INFORMASI
No Audit phase Penjelasan
1. Subjek audit Menentukan apa yang akan diaudit
2. Tujuan audit Menentukan tujuan dari audit.
3. Ruang lingkup audit Menentukan sistem, fungsi dan bagian dari organisasi
yang secara spesifik akan diaudit.
4. Perencanan awal audit Mengidentifikasi sumber daya yang dibutuhkan
Menentukan dokumen apa yang diperlukan untuk
audit
5. Prosedur audit & tahapan Menentukan cara melakukan audit untuk memeriksa
pengumpulan data dan menguji kontrol
Menentukan siapa yang akan diwawancara
6. Evaluasi hasil pengujian Evaluasi hasil pengujian secara spesifik pada tiap
dan pemeriksaan organisasi
7. Prosedur komunikasi Mengkomunikasi hasil audit secara spesifik pada tiap
dengan pihak manajemen organisasi
8. Penyajian laporan audit Menentukan bagaimana cara mereview hasil audit

Evaluasi kesahihan dari dokumen-dokumen,
prosedur, dan kebijakan dari orgnisasi yang diaudit
10
S.Kom.,MM.,QIA
TAHAPAN AUDIT SISTEM INFORMASI
Tahap Tahap Pengujian Tahap Pengujian
Perencanaan Pengendalian Substantif
KajiAudit
Kebijakan
Praktik, dan Struktut Lakukan Uji Lakukan
MULAI Perusahaan Pengendalian Uji Substantif
Kaji Pengendalian Evaluasi Hasil dan

Evaluasi Hasil
Umum dan Keluarkan Laporan
Pengendalian
Pengujian
Audit
Aplikasi
Pelaksanaan Prosedur Tentukan Tingkat Laporan

Uji Pengendalian dan Keandalan Audit
Uji Prosedur Pengendalian
11
Sumber : Information Technogi Auditing and Assurance :
S.Kom.,MM.,QIA
TAHAPAN AUDIT SISTEM INFORMASI (2)
 Tahap Pendahuluan : untuk memahami dan mendapatkan gambaran
sistem manual dan komputerisasi yang diterapkan.
 Tahap Detail : berfokus pada dua pengendalian yaitu pengendalian
umum dan pengendalian aplikasi.
 Pengujian ketaatan : pengujian ketaatan kepada peraturan dan
kebijakan yang berlaku terhadap sistem dan teknologi informasi.
 Pengujian Kendali Kompensasi : pengujian pengendalian diluar
pengendalian umum dan aplikasi seperti prosedur atau proses manual.
 Pengujian Substantif : untuk mendapatkan keyakinan secara
mendalam atas keandalan pengendalian yang diterapkan untuk melindingi
organisasi dari kemungkina kecurangan (mengambil sampel).
 Membuat laporan : membuat laporan hasil audit.
 Monitoring tindak lanjut
12
S.Kom.,MM.,QIA KONSEP RISIKO
RISIKO : suatu keadaan yang tidak pasti yang dihadapi seseorang
atau perusahaan yang dapat memberikan dampak yang merugikan.
Menurut Jones dan Rama mengelompokkan risiko dalam 4 :
 Execution Risk : risiko yang berkaitan dengan tidak tercapainya

sesuatu yang seharusnya dilakukan.
 Information risk : risiko yang berkaitan dengan kemungkinan

kesalahan atau penyalahgunaan data/ informasi.
 Asset protection risk : risiko kerusakan, hilang, atau aset tidak

digunakan sebagaimana mestinya, maupun risiko yang dapat
timbul terhadap aset akibat dari salah dalam mengambil
keputusan.
 Performance risk : risiko yang berkaitan dengan kinerja yang tidak

dapat dilaksanakan sesuai dengan tujuan/ standar yang telah
ditetapkan.
S.Kom.,MM.,QIA RISIKO AUDIT
RISIKO AUDIT : probabilitas bahwa auditor akan memberikan
pendapat yang wajar (bersih) atas laporan keuangan yang pada
kenyataannya salah saji secara material.
 Komponen Risiko Audit :
Risiko Inheren (risiko bawaan)
Risiko Pengendalian
Risko Deteksi
RISIKO INHEREN : berhubungan dengan karakteristik unik dar

bisnis atau industri klien. Potensi kesalahaan (penyalahagunaan)
yang melekat pada suatu kegiatan, jika tidak ada pengendalian
internal.
RISIKO PENGENDALIAN : kemungkinan struktur pengendalian
salah karena tidak adanya atau tidak memadainya pengendalian
untuk mencegah atau mendeteksi dalam berbagai kesalahan.
RISIKO DETEKSI : risiko yang bersedia diambil oleh auditor atas

berbagai kesalahan yang tidak terdeteksi atau dicegah oleh struktur
pengendalian yang juga tidak terdeteksi oleh auditor .
S.Kom.,MM.,QIARUMUS (MODEL) RISIKO AUDIT
 AR = Audit
Rsik.
AR = IR x CR x DR  Inherent Risk
 Control Risk
 Detection Risk
Misalkan risiko audit dinilai dengan nilai 5% = keperayaan
internal (confidence internal) 95% dalam statistik. Asumsikan
IR dinilai pada tingkat 40% dan CR dinilai 60%. Berapa DR ?
5% = 40% x 60% x DR maka DR = 4.8%
Hubungan Uji pengendalian dengan Uji substantif

Asumsikan bahwa audit tahun lalu melalui penilaian risiko IR 40%
dan CR 60%, serta DR 4.8%. Asumsikan bahwa pengendalian tahun
ini lebh ditingkatkan , segingga angka risiko pengendalian (CR)
dapat diturunkan menjadi 40%, sehingga DR diperoleh hasil sbb :
5% = 40% x 40% x DR maka DR = 3,2%
Makin handal pengendalian internal
semakin rendah probabilitas DR.
S.Kom.,MM.,QIA
SISTEM PENGENDALIAN INTERNAL
Pembentukan dan pemeliharaan sistem pengendalian internal
adalah kewajiban pihak manajemen yang penting. Aspek
fundamental dari tanggung jawab pelayanan pihak manajemen
adalah untuk memberikan para pemegang saham jaminan yang
wajar bahwa bisnis telah cukup terkendali. Selain itu pihak
manajemen memiliki tanggung jawab untuk melengkapi
pemegang saham dan calon investor lainnya dengan informasi
keuangan yang dapat diandalkan secara tepat waktu. Sistem
pengendalian internal yang memadai sangat dibutuhkan agar
pihak manajemen dapat melaksanakan berbagai kewajiban ini.
( American Institute of Certified Public Accountans-AICPA)
SISTEM PENGENDALIAN INTERNAL : terdiri atas kebijakan,
praktek, dan prosedur yang digunakan oleh perusahaan untuk
mencapai empat tuuan umum :
Mengamankan aktiva perusahaan
Memastikan akurasi dan keandalan berbagai catatan dan informasi
akuntansi
Menyebarluaskan efisiensi dalam operasi perusahaan
Mengukur keataatan dengan berbagai kebijakan dan prosedur yang
ditetapkan oleh pihak manajemen.
S.Kom.,MM.,QIA
TINGKAT PENGENDALIAN INTERNAL
PENGENDALIAN PREVENTIF : teknik pasif yang didesain untuk
mengurangi frekwensi terjadinya peristiwa yang tidak diinginkan.
Mencegah kesalahan dan penipuan jauh lebih efektif dari segi biaya
daripada mendeteksi dan memperbaiki masalah setelah masalah
tersebut terjadi.
PENGENDALIAN DETEKTIF : barbagai alat, teknik, dan prosedur
yang didesain untuk mengidentifikasi dan mengekspos peristiwa
yang tidak diinginkan yang lolos dari pengendalian preventif.
Ketika pengendalian detektif mengidentifikasi adanya penyimpangan
dari standar, maka akan terdengar peringatan untuk menarik
perhatian ke masalah terkait.
PENGENDALIAN KOREKTIF : tindakan perbaikan yang dilakukan
terhadap masalah dari hasil deteksi.
PENGENDALIAN PREDIKTIF : pengembangan berbagai teknik
untuk benar-benar memprediksi peristiwa menyimpang tertentu.
Proses ini mengarah pada sistem peringatan dni yang memperingati
pihak-pihak terkait mengenai virus, worm, serangan penolakan
layanan, dan aktivitas perusak lainnya.
( Hall Singleton “Information Technology Auditing &

S.Kom.,MM.,QIA
PENGENDALIAN SISTEM INFORMASI
Pengendalian Umum (General Control)
o Pengendalian organisasi (manajemen)
o Pengendalian keamanan komputer.
o Pengendalian pengembangan sistem
o Pengendalian pemprograman dan operasi
o Pengendalian jaringan (network)
o Pengendalian akses database.
o Pengendalian dokumentasi sistem
Pengendalian Aplikasi
(Application
 Pengendalian Control)
Input
 Pengendalian Proses
 Pengendalian Output
S.Kom.,MM.,QIA
PENGENDALIA Memonitor kualitas dan kinerja sistem dan internal control
at a p e l
ep ad jem na
Pengawasan yang langsung oleh atasan
wa ih n
n t ep na ter
N INTERNAL
kt ak
da n k m a ek
Evaluasi yang dilakukan oleh internal auditor
isi va da an
COSO
u.
at rele pa l d
tep asi n ke erna
t
ca rm ik in
se fo aj si
a t n i n di s ma Pemisahan tugas yang memadai
a
tep ika h & for
Otoritas yang semestinya atas

ng aj la in
transaksi dan aktivitas

ya eny dio oleh
Dokumen dan catatan yang memadai

ra
M k r
 nt u mpe
Pengendalian fisik atau aktiva

e
M
 Pengendalian umum dan aplikas


u
Pengecekan independen atas kinerja
Resiko Bisnis
The Committee of Sponsoring
Resiko Operation
Organizations of The Treadway
Resiko Keuangan
Commission (COSO). (Sept-1992)
Resiko Ketaaran
AAA = American Accounting Association
Intergritas dan Nilai Etika
IIA = Institute of Internal Auditors
Kommitmen terhadap Kompetensi
FEI = Financial Executives International Filosofi Manajemen dan Gaya Kepemimpinan
IMA = Institute of Management Accountants Struktur Organisasi
AICPA = American Institute of Certified Komite Audit
Public Accountants Penugasan Wewenang dan tanggung Jawab
Kebijakan SDM dan Penerapannya
S.Kom.,MM.,QIA C O B I T
FRAMEWORK
BUSINESS OBJECTIVES AND
GOVERNANCE OBJECTIVES
ME1 Monitor and evaluate IT PO1 Define a strategic IT plan.

performance. INFORMATION
PO2 Define the information
ME2 Monitor and evaluate internal architecture.
control. Efficiency Integrity PO3 Determine technological
ME3 Ensure compliance with Effectiveness Availability direction.
external requirements. Compliance Confidentiality PO4 Define the IT processes,
ME4 Provide IT governance.
Reliability organisation and relationships.
MONITOR PLAN PO5 Manage the IT investment.
AND AND PO6 Communicate management aims
EVALUATE ORGANISE and direction.
IT PO7 Manage IT human resources.
DS1 Define and manage service levels. RESOURCES PO8 Manage quality.
DS2 Manage third-party services.
PO9 Assess and manage IT risks.
DS3 Manage performance and capacity.
PO10 Manage projects.
DS4 Ensure continuous service.
DS5 Ensure systems security. Applications
DS6 Identify and allocate costs. Information
DS7 Educate and train users. Infrastructure AI1 Identify automated solutions.
DS8 Manage service desk and incidents. People AI2 Acquire and maintain application
DELIVER ACQUIRE software.
DS9 Manage the configuration. AND AND AI3 Acquire and maintain technology
DS10 Manage problems. SUPPORT IMPLEMENT infrastructure.
DS11 Manage data.
DS12 Manage the physical environment. AI4 Enable operation and use.
DS13 Manage operations. AI5 Procure IT resources.
AI6 Manage changes.
AI7 Install and accredit solutions and
changes.
S.Kom.,MM.,QIA
COBIT (Control Objectives for Information and Related Technology)
adalah sekumpulan dokumentasi best practices untuk IT governance
(tata kelola) yang dapat membantu auditor, manajemen and
pengguna ( user ) untuk menjembatani celah antara risiko bisnis,
kebutuhan kontrol dan permasalahan-permasalahan teknis.
COBIT adalah framework dan tool pendukung yang memungkinkan
manajer untuk menjembatani gap sehubungan dengan kebutuhan
control, isu teknis dan resiko bisnis, dan menyampaikan level control
tersebut pada stakeholder.
IT Resources
Didefinisikan dalam pengertian yang paling luas, jadi
INFORMATION bukan hanya meliputi angka, teks ataupun tanggal saja,
tetapi termasuk juga obyek-obyek lain yang ditampilkan
sebagai grafik,suara / bunyi, maupun video.
seluruh prosedur-prosedur baik yang manual maupun yang
APPLICATION terprogram.
Mencakup teknologi dan fasilitas yang digunakan
INFRASTRUCTURE untuk menampung dan mendukung sistem informasi.
individu yang terampil dan memiliki kemampuan
PEOPLE merencanakan, mengorganisasikan, menghimpun,
membagikan, mendukung, dan memonitor sistem serta
S.Kom.,MM.,QIA Information Critera
Effectivnes Menitikberatkan pada sejauh mana efisiensi investasi
s terhadap informasi yang diproses oleh sistem
Efficiency Menitikberatkan pada sejauh mana efisiensi investasi
terhadap informasi yang diproses oleh sistem
Confidentiality Menitikberatkan pada pengelolaan kerahasiaan
informasi secara hierarkis
Integrity Menitikberatkan pada integritas data dalam sistem
Availability Menitikberatkan pada ketersediaan data/ informasi
dalam sistem informasi
Compliance Menitikberatkan pada kesesuaian data/informasi dalam

sistem informasi
Reliability Menitikberatkan pada kemampuan/ ketangguhan sistem
informasi dalam pengelolaan data/ informasi
DEFINISI PENGENDALIAN MENURUT COBIT
”Control adalah suatu kebijakan, prosedur, praktek dan struktur
organisasi yang diciptakan untuk memberikan keyakinan yang
memadai bahwa tujuan organisasi/ perusahaan akan dapat dicapai,
dan hal-hal atau kejadian-kejadian yang tidak dikehendaki, dapat
S.Kom.,MM.,QIA
Mendeteksi sebelum ter- Mendeteksi bahwa ke- Memperkecil

jadi, memantau input salahan, perubahan/ dampak ancaman
dan operasi, melakukan tindakan yang sudah Mengidentifikasi
pre-diksi masalah yg terjadi serta melapor- sumber masalah
mungkin terjadi, kan ,mendiskusikan, dan
mencegah kesrusa-kan kalkulasi ulang, memperbaikinya
dari tindakan kejahatan, Laporan kinerja Mengubah sistem
pemisahan tugas dan sistem, Check point agar meminimalisir
tanggungjawab dalam rantai dampak.
produksi.
S.Kom.,MM.,QIA
 Contoh Preventif :
 Gunakan software yang sah
 Terapkan akses “read only” untuk seluruh software
 Cek software baru dengan antivrus sebelum di install
 Cek file baru dengan antivirussebelum digunakan.
 Sosialisasikan tentang bahaya virus.
 Contoh Detektif
 Jalankan software antivirus secara reguler
 Amati dan bandingkan ukuran file untuk menentukan
apakah ada perubahan.
 Amati dan bandingkan tanggal dan waktu untuk
menentukan apakah ada modifikasi software.
 Contoh Korektif
 Yakinkan bahwa backup yang ada selalu “clean”
 Buat rencana/ dokumentasi untuk mengatasi serangan virus
 Jalankan antivirus untuk menghilangkan virus.
S.Kom.,MM.,QIA
PENGENDALIA Systems Auditability and Control / Systems Assurance
N INTERNAL and Control dipublikasikan 1977 oleh the Institute of
SAC Internal Auditor.
Tujuan pengendalian internal pada sistem berbasis komputer

dalam kajian SAC (IIA-1975) :
Mengkaji secara komperenhensip mengenai kondisi dan
perkembangan teknologi informasi, kebutuhan kontrol dan auditnya.
Mendorong peningkatan kesadaran pimpinan tentang pengelolaan
lingkungan teknologi informasi, dampaknya terhadap kontrol dan
audit internal.
Meletakkan dasar-dasar kontrol internal teknologi informasi dalam
perspektifnya (di dalam konteks sistem secara keseluruhan).
Menurut SAC pengendalian internal teknologi

informasi mencakup 3 (tiga) area :
Computer-based information systems control
Computer service center controls
Systems development controls
S.Kom.,MM.,QIA
PENGENDALIAN ORGANISASI DAN MANAJEMEN
 Pemisahan fungsi Departemen teknologi informasi dan

non teknologi informasi.
 Pemisahan fungsi dalam Departemen teknologi

informasi
 Otorisasi transaksi
 Pengendalian personil
 Perencanaan, penganggaran dan sistem pembebanan

kepada pemakai (user).
S.Kom.,MM.,QIA
PENGENDALIAN TERHADAP SIKLUS PENGEMBANGAN SISTEM
PERAN AUDITOR DALAM PENGEMBANGAN SISTEM :
 BERPARTISISPASI DALAM PERANCANGAN DAN PENGEMBANGAN SISTEM.
 EVALUASI ULANG SISTEM YANG TELAH DITERAPKAN.
 EVALUASI SISTEM PENGENDALIAN YANG ADA.
MODEL EVALUASI PENGEMBANGAN SISTEM :

1. PENDEKATAN SIKLUS HIDUP PENGEMBANGAN SISTEM.
FEASIBILITY STUDY (PROPOSAL DAN KRITERIA BIAYA)
INFORMATION ANALYSIS (USER REQUIREMENT)
SYSTEM DESIGN (INTERFACE, FILE ETC).
PROGRAM DEVELOPMENT (DESIGNING, CODING, COMPLING, TESTING & DOC ).
PROCEDURE & FORM
2. PENDEKATAN DISAIN SOSIAL TEKNIS PENGEMBANGAN SISTEM.
BERSAMA-SAMA ANTARA SOSIAL DAN TEKNIS DALAM KORDINASI PENGEMBANGAN
SISTEM.
3. PENDEKATAN POLITIK PENGEMBANGAN SISTEM.
PENDEKATAN TERHADAP DISTRIBUSI WEWENANG DALAM ORGANISASI.
4. PENDEKATAN SOFT SISTEM PENGEMBANGAN SISTEM.
PENDEKATAN TERHADAP PERMASALAHAN YANG ADA.
5. PENDEKATAN PROTOTYPE PENGEMBANGAN SISTEM.
PENDEKATAN TERHADAP SOLUSI KETIDAK PASTIAN DALAM DESIGN SISTEM.
6. PENDEKATAN KETIDAK PASTIAN PENGEMBANGAN SISTEM.
ADAPTASI UNTUK SILUSI HUBUNGAN ORGANISASI PADA SISTEM YANG SEDANG
DIRANCANG (SOCIAL SYSTEM IMPACT, TASK SYSTEM IMPACK, SYSTEM SIZE,
COMMUNALITY, REQUIREMENT UNCERTAINTY, TECHNOLOGY UNCERTAINTY).
S.Kom.,MM.,QIA
TAHAPAN EVALUASI PENGEMBANGAN SISTEM
1. DEFINISIKAN PELUANG ATAU MASALAH.
PELUANG YANG ADA DAN PERMASALAH (LAKUKAN SWOT).
2. MANAJEMEN PERUBAHAN PROSES.
MANAJEMEN PROYEK DAN PERUBAHAN FASILITAS.
3. MASUKAN DAN PENILAIAN KELAYAKAN.
KELAYAKAN TEKNIS, OPERASI DAN EKONOMI.
4. ANALISA SISTEM YANG SEDANG BERJALAN.
ORGANISASI, STRUKTUR, BUDAYA, DAN ALUR INFORMASI.
5. RUMUSKAN KEBUTUHAN STRATEGIS.
RUMUSKAN TUJUAN YANG DIHARAPKAN..
6. ORGANISASI DAN RENCANA PEKERJAAN.
STRUKTUR ORGSNISASI, STAFFING DAN JOB DESIGN.
7. DESAIN PROSES SISTEM INFORMASI
DESAIN REQUIREMENT, DATABASE, PHYSICAL DAN HW/ SW PLATFORM.
8. AKUISISI DAN PENGEMBANGAN S/W APLIKASI
PEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN SW APLIKASI.
1. AKUISISI HW & SW SISTEM.
PEMENUHAN KECUKUPAN UNTUK PENGEMBANGAN HW/SW SISTEM.
2. PROSDUR PENGEMBANGAN.
DESAIN, TEST, IMPLEMENTASI DAN DOKUMENTASI PROSDUR.
3. PENERIMAAN PENGUJIAN.
(PROGRAM TEST, SISTEM TEST, USER TEST DAN QUALITY ASSURANCE TEST)
4. KONVERSI
KONVERSI DARI SISTEM LAMA KE SISTEM YANG BARU
5. OPERASI DAN PEMELIHARAAN
REPAIR, ADAPTIVE AND PERFECTIVE MAINTENANCE
S.Kom.,MM.,QIASECURITY MANAGEMENT CONTROL
IT
Pro cu re-to-P ay Governance
Hu ma n C apital
Order-to-Ca sh
Man ufa ctu ring
Tre a s ury
P ayroll
Business
Processes
IT Services
PHYSICAL (SDM, HW, Fasilitas,
Dokumen, Supplies) terhadap LOGICAL = (Database, Operating
kebakaran, polusi, banjir, gempa, System, Application, Network)
pencurian.
S.Kom.,MM.,QIA
Tujuannya :
 Untuk menjamin agar aset sistem informasi tetap aman,
baik akses fisik maupun akses non fisik.
Tahap-tahapnya :
 Merencanakan dan menetapkan tujuan, lingkup dan tugas-tugas/
 Identifikasi aset (HR, HW,SW, Documentation, Data)
 Nilai aset (Pengelolaan aset, kehilangan aset dan waktu, umur aset)
 Perlakukan terhadap aset dan kompetitor.
 Administrasi, asuransi, spesifikasi sesuai periode waktu tertentu.
 Identifikasi control, evaluasi kemungkinan gagal operasi dan ukur
kehilangan hasil.
 Pengelolaan laporan.
S.Kom.,MM.,QIA CONTOH HASIL AUDIT
MATRIK TEMUAN HASIL KONFIRMASI
OBYEK AUDIT : AUDIT PENGELOLAAN SIM TUNGGAKAN
LOKASI : ISC BANDUNG
PERIOCE : JANUARI – JUNI 2008
NO. KONDISI KRITERIA ANALISA REKOMENDASI

/TEMUAN (SEBAB-AKIBAT)
1. Belum dijalankan (KD No. Keterbatasan SDM, Identifikasi
Manajemen User- 11/.../ISC ..... tinginya pertumbu-han pengguna(User-ID) dan
ID dan Password. 2007) tentang pelanggan. ketentuan Manajemen
Fakta : Terdapat 3 Manajemen Dapat menimbulkan user ID dan password
user dengan level User-ID dan penyelahgunaan hak perlu dijalankan secara
yang sama (super Pasword. akses sampai level super konsisten sesuai dengan
user) user. (KD No. 11/.../ISC .....
2007)
S.Kom.,MM.,QIA
OPERATION MANAGEMENT CONTROL
 Memfasilitas hasil sistem aplikasi
 Mengembangkan SDM yang dapat mendesign, implementasi
dan memelihara sistem aplikasi
Fungsinya :
 Computer Operation (operation, scheduling & maintenance
control)
 Communication network
 Data Prepation and entry
 Production Control (I/O, Job scheduling, SLA)
 File library (penyimpanan, penggunaan, dan
pemeliharaan)
 Documentation and Program Library
 Help Desk / Technical Support
 Capacity Planning and Performance Monitoring
 Outsourced Operation (Finance, Vendor, Complaince &
Cntracy)
S.Kom.,MM.,QIA
PENGENDALIAN AKSES PERANGKAT KERAS
Pengendalian dengan menggunakan
PASSWORD
password
( Account locking, Aging, Complexity
ACCESS LOG Pengendalian
verification). menggunakan log untuk
mencatat semua kegiatan penggunaan
sistem.
ENCRYPTION Pengendalian dengan menggunakan algoritma
atau logika tertentu mengacak atau
memanifulasi data.
AUTOMATIC Pengendalian yang secara otomatis
LOG-OFF memutuskan hubungan dengan terminal yang
tidak aktif.
BIOMETRIC Pengendalian yang mirip dengan password
TECHNOLOGIES namun dikaitkan dengan identitas diri seperti
sidik jari, telapak tangan, suara dll.
S.Kom.,MM.,QIA
DATA RESOURCE MANAGEMENT CONTROL
Tujuannya :
 Sharebility {kemampuan untuk berbagi data kepada pengguna)
 Availability (ketersediaan data) : data tersedia kapan saja, dimana
saja, dan dalam bentuk apapun.
 Evolvability (kemampuan untuk dapat dikembangkan) : dapat
dikembangkan dengan mudah sesuai kenutuhan penguna.
 Intergrity (keutuhan dan kosistensi data) : keaslian, keakuratan,
kelengkapan, dan konsistensi data tetap terjaga.
Fungsinya :
 Mendefinisikan, membuat, meredefinisi data.
 Membuat database untuk kebutuhan user.
 Menginformasikan dan melayani user.
 Memelihara integritas data. (Gannguan listrik, kerusakan disk.
Kesalahan SW, akses yang tak berhak, atribut, relasi dan basis data )
S.Kom.,MM.,QIA
Pengendalian INPUT
Record Count
Tidak ada 'satu-record-pun' dari 'satu SET penginputan data'

yang terlewat !
1/4
2/4
3/4 Total RECORD = 4
4/4
Batch Total
$500
$200
$400
1
$100$300
$600 2 Batch Total 4 docs = $ 1.500
3
$150 $50 4
S.Kom.,MM.,QIA
Sequence Check
CISA-01
CISA-03
Missing CISA-02
CISA-04
CISA-05
Match with Previous Data
Untuk meyakinkan bahwa DATA yang diinput berkorelasi dengan
data sebelumnya !
BUDIONO (009)
BUDIONO (009) Cicilan
Saldo Awal $ 125
$ 500
S.Kom.,MM.,QIA Run to Run Control
Eksekusi yang diikuti dengan MEDIA-control otomatis !
Tell-stroke
Saldo
ATM-Bank $ 12500
Penarikan
terakhir
$ 1000
CHECK-DIGIT
10002500002
Rumus :
10002500013 Nilai sepuluh digit pertama / 11,
kemudian diambil sisanya !
10002500024
S.Kom.,MM.,QIA
Reasonableness (REJECTION)
Name : Djmaludin Lubis
Nationality : Indonesia
Indonesian
Australian
American
S.Kom.,MM.,QIA
Calculation Check Digit
Kartu dengan nomor : 7365
(5x2)+(6x3)+(3x4)+(7x5)= 10+18+12+35 = 75
75 : 11 = 6, sisa 9 (modulus), 11 – 9 = 2
Tambahkan pada angka 2 diposisi kanan nomor
kartu tersebut sebagai cek digitnya,
sehingga kartu tersebut menggunakan nomor : 73652
Lakukan seperti langkah 1, sehingga menjadi
(2x2)+(5x3)+(6x4)+(3x5)+(7x6)
= 4+15+24+15+42 =100,
karena 100 habis dibagi 10
maka nomor tersebut valid (sah).
S.Kom.,MM.,QIA Algoritma Luhn Check Digit
Kartu dengan nomor : 1804-7025-3041-9867
Kalikan dengan 2 semua angka pada digit ganjil dan kurangi
hasilnya dengan 9 jika lebih dari 9, selanjutnya jumlahkan hasilnya.
7809-6394-5431-2415
Digit-digit pada posisi ganjil
1 x 2 = 2, karena 2 < 9 maka hasilnya tetap 2
7 x 2 = 14, karena 14 < 9 maka hasilnya 14 – 9 = 5
Jumlah 2 + 0 + 5 + 4 + 6 + 8 + 9 + 3 = 37
Menjumlahkan semua digit pada posisi genap :
Jumlah = 8 + 4 + 0 + 5 + 0 + 1 + 8 + 7 = 33
Bila hasil langkah 1 dan langkah 2 dijumlahkan didapat 37 + 33 = 70, karena 70
habis dibagi 10 maka nomor tersebut sah. 6175-4982-3534-2013
 Pengendalian PROSES
S.Kom.,MM.,QIA
o Diagnostic routine
(Pemeriksaan dan analisa rutin secara dini terhadap kondisi aplikasi)
o Limit, Reasonableness & Sign test
(Seperti pada pengendalian input).
o Posting, Crossfooting & Zero Balance Check
(Pengujian dengan membandingkan, menambah dan mengurangi setelah
proses)
o Run to Run Control
(Memverifikasi nilai data dari hasil penjumlahan melalui tahapan
pemrosesan)
o End of File Procedure
(Pengendalian sistem agar tidak berhenti sebelum berakhirnya
pemrosesan)
o Lock-out
(Tidak meng-update secara bersamaan dalam kondisi on-line).
o Audit Trail
(Menulusuri pemrosesan transaksi)
 Pengendalian OUTPUT
S.Kom.,MM.,QIA
o Storage Control
(Pengendalian dengan pembatasan storage, suhu, keamanan akses)
o Error Listing
(Daftar kesalahan agar dikendalikan sehingga tidak menggangu operasi)
o Console Log
(Pengendalian dilakukan untuk mengetahui siapa, apa, kapan dilakukan
interupsi).
o Distribution
(Untuk menjamin bahwa keluaran tersebut diterima oleh yang terotorisasi).
o User Review
(Melalui user review dapat dilihat status dari hasil pendistribusian laporan tersebut).
o Destruction Control
(Pemusnahan output agar benar-benar diyakini bahwa output telah

dimusnahkan sehingga tidak dimiliki atau dibaca oleh orang yang tak
berhak)
S.Kom.,MM.,QIANETWORK MANAGEMENT CONTROL
Pengendalian jaringan bertujuan untuk menyediakan
akses kepada software system yang khusus untuk
mengelola dengan fungsi sbb :
 Memulai dan menghentikan jaringan dan proses.

 Memonitor aktivitas jarngan
 Mengganti nama line komunikasi
 Men-generate statistic system
 Men-setting ulang panjangnya antrian
 Menambah frekwensi backup
 Menanyakan status system
 Mengirimkan system warning dan status massage
 Memeriksa lintasan data pada line komunikasi
S.Kom.,MM.,QIA AUDIT E-Commerce
Webtrust : program yang memberikan jaminan menyeluruh terhadap bisnis yang
berbasis e-business/ e-commerce dengan membangun kepercayaan dan keandalan
website tersebut. 7 assurance standard webtrust :
Online Privacy : keamanan dalam melakukan transaksi

Business Practice and Transaction Integrity : proses transaksi harus
lengkap dan akurat
Security : tanggung jawab situs terhadap keamanan transaksi
Non-reproduction : pengungkapan sistem terpelihara, bukti yang
diperlukan dikemudian hari ada secara elektronis
Confidentiality : sistem mengungkat kerahasiaan dalam transaksi,
menghindari akses yang tak behak.
Availability : situs menjamin sistem dan data telah sesuai dengan yang
diungkapkan, tersedia HW dan SW yang teruji keandalannya
Custimized Disclosure : situs harus mengungkap hal-hal khusus yang ada
padanya.
S.Kom.,MM.,QIA ALAT DAN TEKNIK AUDIT
Test Tools Test Techniques
Media utuk membantu Cara proses pengujian

auditor dlm. melakukan dilakukan untuk mencapai
teknik pengujian tujuan audit
Bentuknya bisa berupa : Contoh :
- Pedoman, Prosedur (SOP) Stratifikasi, Analisa

Statistik, Klasifikasi data,
- Software (GAS) : ACL, IDEA Rekonsiliasi
45
S.Kom.,MM.,QIA
Computer Assisted Audit Techniques
(CAAT)
Teknik Audit Berbantuan Komputer adalah alat yang cukup penting dan
esensial untuk membantu tugas auditor sejenis tools seperti Generalized
Audit Software (GAS).
Beberapa pertimbangan penggunaan CAAT sebagai pendukung prosedur
manual, adalah :
 Pengetahuan, keahlian, keterampilan dan pengalaman auditor dibidang

komputer
 Tersedianya sarana dipihak auditee yang memang mendukung untuk
menggunakan CAAT
 Efisiensi dan efektivitas CAAT dibanding dengan prosedur manual
 Kendala waktu (cukup atau tidak)
 Integritas lingkungan sistem dan teknologi informasi setempat
 Tingkat risiko audit
46
S.Kom.,MM.,QIA Generalized Audit Software
Program komputer yang dirancang khusus untuk pengolahan data-data
tertentu, terutama yang berkaitan dengan audit.
Juga dapat digunakan untuk membantu tugas operasional lainnya.
o ACL ( Audit Command language ), IDEA (Interactive Data Extraction & Analysis)
Audit Common Language (ACL) adalah pengektrasi data dan penganalisa produk
yang paling banyak digunakan dalam mekanisme audit, untuk mendeteksi dan
mencegah terjadinya kecurangan (fraud).
Kemampuan GAS
• Akses data dari berbagai media, struktur dan format data (download, report file,
dan Fasilitas ODBC = Open Database Connectivity)
• Ad Hoc Report : Pelaporan ke manajemen yang sifatnya sewaktu-waktu atau
yang tidak terakomodasi oleh aplikasi yang telah ada.
• Organisasi data (sort, klasifikasi, dan ikhtisar data).
• Pemilihan dan statistik data (data dan grafik).
• Penggabungan dan Pembandingan data (matematis dan fungsi logika).
Keterbatasan GAS
Hanya untuk ex-post auditing (hasil yang lalu), tidak concurrent auditing).
Terbatas untuk menguji logika pemrosesan.
Kesulitan dalam menentukan kesalahan program.
47
S.Kom.,MM.,QIA
Karakteristik GAS :
o Mudah digunakan bagi non programmer dan tidak bisa merubah data
o Dapat digunakan untuk data dari berbagai platform
Specialized Audit Software
SAS merupakan satu atau lebih program khusus yang dirancang oleh
auditor agar sesuai dengan situasi audit tertentu.
Alasan digunakannya SAS:
o Tidak ada software lain
o Keterbatasan kemampuan software yg ada
o Efisiensi
o Meningkatkan pemahaman sistem
o Mempermudah persiapan
o Meningkatkan idependensi auditor
48
S.Kom.,MM.,QIA
PENDEKATAN BATCH PROCESSING ENVIRONMENT
SISTEM DATA UJI
Master Update
File Master file
Error report
Transaction
Test report
Transaction
Predeterminasi
result Compare
S.Kom.,MM.,QIA
PARALLEL SIMULATION
REAL
DATA REAL OUTPUT
PROGRAM
Compare
REAL SALINAN
PROGRAM OUTPUT
DATA
 Dokumen yang diperiksa tidak lengkap (tidak memadai).

 Auditor ingin lebih independen.
 Perlu dilakukan pengujian atas fle transaksi.
S.Kom.,MM.,QIA
PENDEKATAN ONLINE REAL-TIME ENVIRONMENT
System Control Audit Riview File (SCARF)
Menempelkan software audit pada aplikasi untuk memonitor
transaksi secara terus menerus (Embedded Audit Routine)
Transaction
File Input
Master file
Update program
SCARF
(SCARF embedded
audit routines)
SCARF
Reporting
Update system
report Output
Master file Audit
report
1. Auditor membuat beberapa kriteria

2. Audit modul ditempelkan di titik kritis aplikasi dan transakasi direkam sesuai kriteria.
3. Hasil monitoring direkam pada file tertentu agar dapat direview oleh auditor.
S.Kom.,MM.,QIA Integrated Test Fasilities (ITF)
Memasukkan beberapa data (records) dummy kedalam file
transaksi rill (file produksi). Auditor dapat memperoses
data dummy secara tersendiri maupun bersamaan.
Selanjutnya auditor membandingkan hasil proses sistem
dengan hasil proses yang dilaukan auditor menggunakan
data dummy.
Virtual Transaction Testing (VTT)
Pengujian sistem dilakukan dalam partisi yang berbeda
dengan sistem yang diuji. Sebelum dilakukan pengujian, audit
mengcopy semua sistem kedalam partisi yang berbeda.
Selanjutnya auditor juga membuat database untuk keperluan
pengujian.
Dengan prosedur ini tidak ada kehawatiran bahwa hasil
transaksi pengujian akan tercapur dengan transaksi rutin,
sehingga auditor dengan bebas melaukan pengujian.
Pricess Tracing Software
Mapping
S.Kom.,MM.,QIA
Pengumpulan & Penilaian Bukti Audit
Prosedur penilaian alat bukti
Observasi atas kegiatan operasional perusahaan
Pemeriksaan fisik atas kuantitas aktiva
Konfirmasi atas ketelitian informasi
Mengajukan pertanyaan kepada auditee
Mengkalkulasi atas perhitungan kembai informasi kuantitatif
atas catatan atau laporan
Pemeriksan bukti atau dokumen
Pemeriksaan analitis hubungan informasi keuangan dan
oprasional untuk ditindak lanjuti.
Kualitas bukti audit ditentukan oleh :

Relevansi : terkait dengan tujuan audit
Materiality : berkaitan dengan laporan keuangan
Competency : berkaitan dengan absahan alat bukti
Kecekupan alat bukti
S.Kom.,MM.,QIA
Metode Pengumpulan Data
Metode pengumpulan data dalam proses audit dilakukan sbb :
Survey Pendahuluan
Untuk mendapatkan informasi mengenai gambaran
perusahaan dan permasalahan yang dihadapi perusahaan.
Survey Lapangan
Interview : teknik pengumpulan data (informasi sistem yang

ada) dengan cara melakukan tanya jawab langsung kepada pihak-
pihak yang berkepentingan dengan perusahaan.
Observasi : merupakan pendekatan dengan melbatkan meninjau

dan mengamati langsung objek yang akan diteliti (diaudit).
S.Kom.,MM.,QIA
Dokementasi : merupakan data arsip yang diperlukan untuk
mendukung (sebagai salah satu alat bukti) dalam melakukan
pemeriksaan dengan mempelajari atau menggunakan catatan
yang ada dalam perusahaan.
Kuesioner : digunakan dengan menyusun beberapa pertanyaan

yang lebih spesifik dan terinci dengan menggunakan pertanyaan
terbuka maupun pertanyaan tertutup.
Test of control (pengujian pengendalian) : digunakan unuk

menentukan apakah pengendalian internal yang ada telah
memadai dan berfungsi secara efektif. Biasanya menggunakan
alat bantu komputer seperti ACL (Audit Command Language).
S.Kom.,MM.,QIA
Evaluasi Efektivitas dan Efisiensi Sistem
 Tahap evaluasi efektivitas sistem:
Evaluasi tujuan/ manfaat sistem yang ingin dicapai
Pilih pengukuran yang digunakan
Identifikasi sumber datanya
Tentukan ex-ante valuee dalam pengukuran
Tenukan ex-post values pengukuran
Mengukur dampak sistem berdasarkan perbandingan penilaian ex-ante dan
ex-post tersebut.
 Tahap evaluasi efisiensi sistem:

Indikator ketepatan waktu, waktu yang dibutuhkan user dalam penyajian
output
Mengukur seberapa banyak yang dilakukan sistem dalam periode waktu
tertentu
Mengukur tingkat kesibukan sistem
Mengukur ktersediaan/ kesiapan sistem dalam proses beban kerja sistem
S.Kom.,MM.,QIA
Kerta Kerja Audit
Statement on Auditing Standards (SAS) No. 41 menyatakan bahwa :
Kertas Kerja Audit merupakan catatan tertulis yang dibuat auditor
mengenai bukti-bukti yang dikmpulkan, bernagai metoda dan
prosedur yang diterapkan serta simpulan-simpulan yang dibuat
selama melakukan audit.
Fungsi Kerta Kerja Audit
Membantu auditor untuk memperoleh kepastian bahwa seluruh prosedur audit
telah dilakukan atau ditempuh, serta telah memenuhi syarat memadai
(memuaskan) sesuai dengan standar audit yang berlaku.
Isi Kertas Kerja Audit
o Dasar Pelaksanaan Audit
o Ruang Lingkup Audit
o Tinjauan kondisi sistem, termasuk informasi yang berkaitan dengan
pemakaian perankat keras dan perangkat lunak.
o Analisis sistem serta hasilnya
o Informasi-informasi penting lainnya yang diperlukan sesuai dengan
kondisinya. 57
S.Kom.,MM.,QIA
Standar Pelaporan Audit Sisetem Informasi (1)
 Bab-I : Simpulan Hasil Audit Sistem Informasi

Merupakan ikhtisar simpulan hasil audit sistem informasi yang isinya
memaparkan tingkat keandalan sistem yang bersangkutan dan
rekomendasi secara ringkas. Bab ini dapat juga berfungsi sebagai laoran
ringkas untuk eksekutif (executive summary).
Bab-II : Uraian Hasil Audit Sistem Informasi

Merupakan uraian secara rinci mengenai hasil audit sistem informasi, yang
isinya terdiri dari beberapa sub-bab, sebagai berikut :
II.1 : Dasar Pelaksanaan Audit
Memuat dasar atau landasan hukum untuk melakukan audit sistem
informasi.
II.2 : Umum
Meliputi organisasi pusat sistem informasi yang diaudit dan kebijakan
manajemen yang berkaitan dengan sistem informasi.
58
S.Kom.,MM.,QIA
Laporan Hasil Audit
Hasil audit sistem informasi dapat digunakan sebagai salah satu
pembuktian dalam audit keuangan (Financial Audit), sebagai
bahan untuk penyusunan memorandum pengendalian intern, atau
dapat pula dipakai untuk penyusuan laporan hasil audit sistem
informasi yang akan diterbitkan dan didisribusikan kepada pihak
tertentu.
Isi laporan audit :

o Tujuan audit
o Standar audit yang digunakan
o Lingkup audit
o Metodologi yang digunakan
o Tenuan audit
o Simpulan dan saran
59
S.Kom.,MM.,QIA
II.3 : Ruang Lingkup Audit
Menguraikan tentang tujuan dan pembatasan audit, berikut ruang lingkup
audit sistem informasi : area audit, periode audit.
II.4 : Tinnjauan Umum Sistem

Berisi informasi perangkat keras dan perangkat lunak, serta perangkat lnak
lainnya yang digunakan oleh auditee, termasuk cara pemerosesan data dan
sistem konukasi data yang dimiliki.
II.5 : Uraian Hasil Audit Sistem Informasi

Dapat diuraikan dalam beberapa butir, seperti :
a. Temuan (berisi uraian mengenai ) :
oKondisi sistem yang ada (kelemahan dan keandalan).
oPermasalahan yang ada.
oMengapa permasalahan itu dianggap penting.
oStandar penilaian yang berlaku
oPenyebab yimbulnya masalah
oDampak yang ditimbulkan 60
S.Kom.,MM.,QIA
b. Saran
Memuat saran atau rekmendasi dari auditor yang berisi langkah-
langkah perbaikan yang perlu ditempuh manajemen atau auditee
guna memperbaiki kelemahan sistem yang telah dioperasikan, serta
solusi-solusi praktis yang diperlukan untuk memecahkan masalah
yang ada.
c. Tanggapan Manajemen
Memuat tanggapan serta kesanggupan manajemen atau auditee
untuk melaksanakan rekomendasi auditor, ataupun sanggahan atau
keberatan (kalau ada).
61

Audit Si Praktisi

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Audit Si Praktisi

Uploaded by

Copyright:

Available Formats

Ramlan, POLITEKNIK PRAKTISI Audit Sistem Informasi

Proses sistematis mengenai mendapatkan dan

NO. KONDISI KRITERIA ANALISA REKOMENDASI

 Unqualified (Telah terjadi kerugian yang

COMPLAIN AUDIT : audit untuk mengetahui apakah perusahaan

Audit Sistem Informasi adalah proses mengumpulkan dan

I mproved I mproved I mproved

(sumber : Ron Weber “Information Systems

8. Penyajian laporan audit Menentukan bagaimana cara mereview hasil audit

Kaji Pengendalian Evaluasi Hasil dan

Pelaksanaan Prosedur Tentukan Tingkat Laporan

Menurut Jones dan Rama mengelompokkan risiko dalam 4 :

 Execution Risk : risiko yang berkaitan dengan tidak tercapainya

 Information risk : risiko yang berkaitan dengan kemungkinan

 Asset protection risk : risiko kerusakan, hilang, atau aset tidak

 Performance risk : risiko yang berkaitan dengan kinerja yang tidak

RISIKO INHEREN : berhubungan dengan karakteristik unik dar

RISIKO DETEKSI : risiko yang bersedia diambil oleh auditor atas

Hubungan Uji pengendalian dengan Uji substantif

( Hall Singleton “Information Technology Auditing &

Otoritas yang semestinya atas

transaksi dan aktivitas

Dokumen dan catatan yang memadai

Pengendalian fisik atau aktiva

 Pengendalian umum dan aplikas

Pengecekan independen atas kinerja

ME1 Monitor and evaluate IT PO1 Define a strategic IT plan.

Compliance Menitikberatkan pada kesesuaian data/informasi dalam

Mendeteksi sebelum ter- Mendeteksi bahwa ke- Memperkecil

Tujuan pengendalian internal pada sistem berbasis komputer

Menurut SAC pengendalian internal teknologi

 Pemisahan fungsi Departemen teknologi informasi dan

 Pemisahan fungsi dalam Departemen teknologi

 Perencanaan, penganggaran dan sistem pembebanan

MODEL EVALUASI PENGEMBANGAN SISTEM :

Man ufa ctu ring

NO. KONDISI KRITERIA ANALISA REKOMENDASI

Tidak ada 'satu-record-pun' dari 'satu SET penginputan data'

Name : Djmaludin Lubis

(Pemusnahan output agar benar-benar diyakini bahwa output telah

 Memulai dan menghentikan jaringan dan proses.

Online Privacy : keamanan dalam melakukan transaksi

Test Tools Test Techniques

Media utuk membantu Cara proses pengujian

Bentuknya bisa berupa : Contoh :

- Pedoman, Prosedur (SOP) Stratifikasi, Analisa

 Pengetahuan, keahlian, keterampilan dan pengalaman auditor dibidang

Specialized Audit Software

 Dokumen yang diperiksa tidak lengkap (tidak memadai).

1. Auditor membuat beberapa kriteria

Kualitas bukti audit ditentukan oleh :

Interview : teknik pengumpulan data (informasi sistem yang

Observasi : merupakan pendekatan dengan melbatkan meninjau

Kuesioner : digunakan dengan menyusun beberapa pertanyaan

Test of control (pengujian pengendalian) : digunakan unuk

 Tahap evaluasi efisiensi sistem:

 Bab-I : Simpulan Hasil Audit Sistem Informasi

Bab-II : Uraian Hasil Audit Sistem Informasi

Isi laporan audit :

II.4 : Tinnjauan Umum Sistem

II.5 : Uraian Hasil Audit Sistem Informasi

You might also like