TUGAS SISTEM INFORMASI AKUNTANSI

RANGKUMAN BUKU SISTEM INFORMASI AKUNTANSI

KARANGAN MARSHALL B. ROMNEY DAN PAUL JOHN STEINBART
BAB 11
Dosen Pengampu : Kunti Sunaryo, S.E., M.Si., Akt.

Disusun oleh:
Kelompok 5
1. Rizkha Tamami 142160052
2. Ulfah Rahmawati 142160053
3. Indah Umestiana 142160054
4. Fatimah Nur Aini 142160066
5. Muhammad Khairil Azmi 142160071

JURUSAN AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS PEMBANGUNAN NASIONAL VETERAN
YOGYAKARTA
 BAB 11
PENGAUDITAN SISTEM INFORMASI BERBASIS KOMPUTER

A. PENDAHULUAN
Pengauditan proses sistematik atas pengevaluasian bukti mengenai
asersi-asersi tentang kejadian ekonomi dalam rangka menentukan
kesesuaiannya dengan kriteria yang ditetapkan.
Pengauditan internal adalah sebuah aktivitas inderpenden, menjamin
objektivitas serta konsultasi untuk menambah nilai serta meningkatkan
efektivitas dan efisiensi organisasi. Ada beberapa jenis berbeda dari audit
internal:
1. Audit Keuangan, memeriksa keterandalan dan integritas dari transaksi-
transaksi keuangan, catatan akuntansi, dan laporan keuangan
2. Audit Sistem Informasi atau Audit Pengendalian Internal, memeriksa
pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan
kebijakan dalam pengamanan aset
3. Audit Operasional, pemeriksaan secara ekonomis dan efesien atas
sumber daya dan pencapaian tujuan
4. Audit Kepatuhan, memntukan apakah entitas mematuhi kebijakan, dan
prosedur yang berlaku
5. Audit Investigatif, menguji kejadian dari penipuan yang mungkin terjadi
penyalahgunaan atau aktivitas tata kelola yang buruk
Pengauditan eksternal bertanggung jawab pada para pemegang saham
perusahaan. Auditor eksternal memerlukan kemampuan khusus untuk (1)
menentukan bagaimana audit akan dipenuhi oleh TI, (2) menilai dan
mengevaluasi pengendalian TI, (3) mendesain dan menjalankan baik
pengujian atas pengujian TI.

2
B. SIFAT PENGAUDITAN
Tinjauan Menyeluruh Proses Audit
1. Perencanaan Audit menentukan mengapa, bagaimana, kapan, dan oleh
siapa audit akan dilaksanakan.
Terdapat tiga jenis risiko audit:
a. Risiko Bawaan, kelemahan terhadap risiko material karena tidak
terjadinya pengendalian internal
b. Risiko Pengendalian, risiko saat suatu salah saji material akan
melampaui struktur pengendalian internal kedalam laporan keuangan
c. Risiko Deteksi, risiko saat para auditor dan prosedur auditnya akan
gagal mendeteksi sebuah kesalahan atau salah saji yang material.
2. Pengumpulan bukti audit
a. Observasi
b. Pemeriksaan atas dokumentasi
c. Diskusi dengan para pegawai
d. Kuesioner
e. Pemeriksaaan fisik atas kuantitas aset berwujud
f. Konfirmasi atas ketepatan informasi
g. Melakukan perhitungan ulang untuk verifikasi informasi kuantitatif
h. Pemeriksaan bukti pendukung untuk validitas dari sebuah transaksi
i. Tinjauan analisis atas hubungan dan trend antar-informasi
3. Evaluasi atas barang bukti audit
a. Auditor mengevaluasi bukti dan memutuskan bukti tersebut
mendukung kesimpulan yang menguntungkan atau tidak.
b. Auditor menentukan materialistas (jumlah kesalahan yang akan
mempengaruhi keputusan dari pengguna informasi) apa yang penting
dan tidak penting dalam audit.
c. Auditor mencari penjaminan memadai bahwa tidak ada kesalahan
material yang ada dalam informasi atau proses yang diaudit.

3
 4. Komunikasi audit
Auditor mengirimkan laporan tertulis kepada manajemen, komite
audit dan pihak yang berkepentingan lainnya kemudian ditindaklanjuti.

Pendekatan audit berbasis-resiko

1. Menentukan ancaman yang akan dihadapi perusahaan.
2. Mengidentifikasikan prosedur pengendalian yang mencegah, mendeteksi
dan memperbaiki ancaman.
3. Mengevaluasi prosedur pengendalian.
a. Sebuah tinjauan sisitem menentukan apakah prosedur pengendalian
benar-benar di laksanakan
b. Uji pengendalian dilakuakan untuk menentukan apakah
pengendalian yanga ada berjalan seperti yang dihendaki
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya
dalam jenis waktu atau tingkat prosedur pengauditan

C. AUDIT SISTEM INFORMASI

Tujuan dalam melakukan audit sistem informasi:
1. Ketentuan keamanan untuk melindungi peralatan komputer program,
komunikasi dan data-data dari modifikasi.
2. Pengembangan dan akuisisi program dilakukan sesuai dengan orientasi
umum dan spesifikasi manajemen.
3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file dan laporan secara tepat dan lengkap.
5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar
diidentifikasikan dan ditangani berdasarkan kebijakan manajerial yang
telah ditentukan.
6. File data komputer tepat, lengkap dan rahasia.

4
Komponen-komponen sistem informasi dan tujuan audit terkait

5
Tujuan 1: Keamanan Secara Menyeluruh
Kerangka kerja untuk Audit Keamanan Komputer secara Menyeluruh
1. Jenis-jenis kesalahan dan Penipuan
a. Kerusakan yang tidak disengaja atau disengaja pada perangkat keras.
b. Akses yang tidak diotorisasi terhadap sumber daya sistem.
c. Kehilangan data rahasia.
d. Modifikasi yang tidak diotorisasi program dan file data.
2. Prosedur Pengendalian
a. Rencana keamanan/perlindungan informasi
b. Pembatasan atas akses fisik terhadap peralatan komputer
c. Prosedur perlindungan virus
d. File backup dan prosedur pemulihan
3. Prosedur Audit: Tinjauan Sistem
a. Memeriksa dengan seksama situs komputer.
b. Memeriksa kebijakan dan prosedur file backup dan pemulihan.
c. Memeriksa kebijakan dari prosedur penyimpanan dan transmisi data.
d. Menguji log akses sistem.
4. Prosedur Audit: Pengujian Pengendalian
a. Mengamati dan menguji prosedur situs computer.
b. Mengamati persiapan dan penyimpanan offsite atas file backup.
c. Memverifikasi tingkat dan efektivitas dari enkripsi data
d. Memverifikasi prosedur perlindungan virus yang efektif.
5. Pengendalian Kompensasi
a. Kebijakan personel yang kuat.
b. Pengendalian pengguna yang efektif.

Tujuan 2: Pengembangan Program dan Akuisisi

Peran auditor dalam pengembangan sistem sebaiknya sebatas pada
pemeriksaan independen atas aktivitas-aktivitas pengembangan sistem. Untuk
menjaga objektivitas, auditor tidak diperbolehkan membantu pengembangan
sistem.

6
Dua hal yang dapat menjadi kesalahan dalam pengembangan program
1. Kelalaian pemrograman yang berkaitan dengan kurangnya pemahaman
tentang spesifikasi sistem atau pemograman yang teledor
2. Instruksi yang tidak diotorisasi dengan sengaja disisipkan ke dalam
program
Untuk menguji pengendalian pengembangan sistem, para auditor harus
mewawancarai para manajer dan pengguna sistem, menguji persetujuan
pengembangan, dan memeriksa catatan pertemuan tim pengembangan.
Kerangka Kerja untuk Audit Pengembangan Program
1. Jenis-jenis kesalahan dan penipuan
a. Kelalaian pemrogaman atau kode program yang tidak diotorisasi.
b. Pemeriksaan atas persetujuan lisensi perangkat lunak.
c. Pengujian menyeluruh atas program baru.
d. Dokumentasi sistem yang lengkap, termasuk persetujuan.
2. Prosedur Audit: Tinjauan Sistem
a. Pemeriksaan independen atas proses pengembangan sistem.
b. Pemeriksaan atas standar evaluasi pemrograman.
c. Pemeriksaan atas standar dokumentasi program dan sistem.
d. Pemeriksaan atas kebijakan dan prosedur persetujuan pengujian.
3. Prosedur Audit: Pengujian Atas Pengendalian
a. Mewawancarai pengguna mengenai keterlibatan dalam sistem.
b. Memverifikasi tujuan sign-off manajemen.
c. Memeriksa spesifikasi, data dan hasil pengujian sistem.
d. Memeriksa persetujuan lisensi perangkat lunak.
4. Pengendalian Kompensasi
a. Pengendalian pemrosesan yang kuat.
b. Pemrosesan independen atas data pengujian oleh audit.

7
Tujuan 3: Modifikasi Program
Ancaman yang terjadi dalam pengembangan program juga dapat terjadi
selama modifikasi program.
Kerangka Kerja untuk Audit Modifikasi Program
1. Jenis-jenis Kesalahan dan Penipuan
a. Kelalaian pemrograman atau kode program yang tidak diotorisasi.
b. Daftar komponen-komponen program yang dimodifikasi.
c. Otorisasi dan persetujuan manajemen atas modifikasi program.
d. Pengendalian akses logis.
2. Prosedur Audit: Tinjauan Sistem
a. Memeriksa kebijakan, standar, dan prosedur modifikasi program.
b. Memeriksa standar evaluasi pemrograman.
c. Memeriksa kebijakan serta prosedur modifikasi.
d. Memeriksa kebijakan dan prosedur pengendalian akses logis.
3. Prosedur Audit: Pengujian Atas Pengendalian
a. Memverifikasi persetujuan sign-off pengguna dan manajemen.
b. Memverifikasi program yang dimodifikasi telah diidentifikasi.
c. Mengamati implementasi perubahan program
d. Pengujian atas perubahan program yang tidak diotorisasi.
4. Pengendalian Kompensatif
a. Pengujian audit independen atas perubahan program yang tidak
diotorisasi.
b. Pengendalian pemrosesan yang kuat.
Terdapat tiga cara auditor untuk menguji perubahan program yang tidak
diotorisasi:
1. Auditor menggunakan sebuah program untuk membandingkan versi
terkini dari program dengan kode sumber.
2. Auditor memproses ulang data menggunakan kode sumber dan
membandingkan output-nya dengan output perusahaan.
3. Dalam simulasi paralel, auditor menuliskan sebuah program,
membandingkan output, dan menyelidiki segala perbedaan.

8
Tujuan 4 : Pemrosesan Komputer
Para auditor secara periodik mengevalusi ulang pengendalian pemrosesan
untuk memastikan keterandalan berlanjutnya. Jika mereka tidak puas,
pengendalian pengguna dan data sumber mungkin cukup kuat untuk
mengimbangi. Jika tidak, terdapat sebuah kelemahan material, dan langkah-
langkah harus diambil untuk mengeliminasi kekurangan pengendalian.
1. Pengolahan Data Pengujian
Satu cara untuk menguji sebuah program adalah memproses satu set
hipotesis atas transaksi yang valid dan tidak valid. Seluruh path logis
harus dicek dengan satu atau lebih transaksi-transaksi pengujian.
Sumber daya berikut ini berguna ketika mempersiapkan pengujian data :
a. Sebuah daftar atas transaksi-transaksi aktual.
b. Transaksi-transaksi pengujian yang digunakan perusahaan untuk
menguji program.
c. Sebuah tes pembuatan data.
Dalam sebuah sistem pemrosesan batch, program perusahaan dan
salinan atas file-file yang relevan digunakan untuk mengolah data
pengujian. Dalam sebuah sistem online, para auditor memasukkan data
pengujian dan kemudian mengamati serta mencatat respons sistem.
Pemrosesan transaksi pengujian memiliki dua kelemahan. Pertama,
auditor harus menghabiskan waktu yang cukup banyak untuk memahami
sistem dan menyiapkan transaksi-transaksi pengujian. Kedua, auditor
harus memastikan bahwa data pengujian tidak memengaruhi file dan
database perusahaan.
2. Teknik-Teknik Audit Bersamaan
Teknik audit bersamaan terus-menerus mengawasi sistem dan
mengumpulkan bukti-bukti audit sementara data asli diproses selama jam
pengoperasian reguler.

9
 Para auditor biasnya menggunakan lima teknik audit bersama
diantaranya :
a. Sebuah integrated test facility (ITF) menyisipkan catatan-catatan
fiktif yang merepresentasikan divisi perusahaan.
b. Dalam teknik snapshot, transaksi-transaksi yang terpilih ditandai
dengan sebuah kode khusus.
c. System control audit review file (SCARF) menggunakan modul
audit yang dilekatkan untuk terus-menerus mengawasi aktivitas
transaksi.
d. Audit hooks adalah rutinitas audit yang memberitahu para auditor
atas transaksi-transaksi tersebut terjadi.
e. Continous and intermittent simulation (CIS) melekatkan sebuah
modul audit dalam sebuah sistem manajemen database.
Kerangka Kerja Untuk Audit atas Pengendalian Pemrosesan Komputer
1. Jenis-jenis Kesalahan dan Penipuan
a. Kegagalan mendeteksi data input yang salah.
b. Kegagalan untuk tidak mengoreksi kesalahan dengan benar.
c. Distribusi atau pengungkapan yang tidak tepat atas output komputer.
2. Prosedur Pengendalian
a. Rutinitas pengeditan data.
b. Penggunaan yang tepat atas label file internal dan eksternal.
c. Rekonsiliasi atas total batch.
d. Prosedur perbaikan kesalahan yang efektif.
3. Prosedur Audit: Tinjauan Sistem
a. Memeriksa dokumentasi administratif untuk memproses struktur
pengendalian.
b. Memeriksa dokumentasi sistem untuk pengeditan data dan
pengendalian pemrosesan lainnya.
c. Memeriksa dokumentasi pengoperasian untuk kelengkapan dan
kejelasan.

10
4. Prosedur Audit: Pengujian atas Pengendalian
a. Memverifikasi ketepatan pemrosesan transaksi-transaksi.
b. Mencari kode yang salah atau tidak diotorisasi.
c. Mengecek ketepatan dan kelengkapan pengendalian pemrosesan.
d. Mengawasi sistem pemrosesan online menggunakan teknik-teknik
audit bersamaan.
5. Pengendalian Kompensasi
a. Pengendalian pengguna yang kuat dan pengendalian atas data
sumber yang efektif.

3. Analisis atas Logika Program

Jika para auditor mencurigai bahwa sebuah program memuat kode
yang tidak diotorisasi atau kesalahan serius, sebuah analisis mendetail
atas logika program mungkin diperlukan.
Auditor juga menggunakan paket-paket perangkat lunak berikut :
a. Program bagan alir otomatis, mengartikan kode sumber dan
menghasilkan sebuah bagan alir program.
b. Program tabel keputusan otomatis, mengartikan kode sumber dan
menghasilkan sebuah keputusan.
c. Rutinitas pemindaian, mencari sebuah program untuk seeluruh
kejadian atas komponen-komponen tertentu.
d. Program pemetaan, mengidentifikasi kode program yang tidak
dilaksanakan.
e. Penelusuran program, secara berurutan mencetak seluruh langkah-
langkah program yang dilakukan ketika sebuah program berjalan.

Tujuan 5 : Data Sumber

Fungsi pengendalian data harus independen dari fungsi lainnya,
melindungi sebuah log pengendalian data, menangani kesalahan, dan
memastikan keseluruhan efisiensi dari operasi. Meskipun pengendalian data
sumber mungkin tidak seringg mengalami perubahan, seberapa ketatnya

11
pengendalian data terebut diterapkan dapat berubah, para auditor harus secara
teratur mengujinya.
Jika pengendalian data sumber tidak memadai, pengendalian departemen
pengguna daan pengolahan data dapat menggantikannya. Jika tidak, para
auditor harus merekomendasikan agar kekurangan dalam pengendalian data
sumber diperbaiki.
Kerangka untuk audit atas Pengendalian Data Sumber
1. Jenis-jenis kesalahan dan penipuan
a. Data sumber yang tidak tepat atau tidak diotorisasi
2. Prosedur pengendalian
a. Otoritas pengguna atas input data sumber.
b. Persiapan dan rekonsiliasi atas total pengendalian batch.
c. Verifikasi digit cek.
d. Verifikasi kunci.
3. Prosedur Audit: Tinjauan Sistem
a. Memeriksa dokumentasi administratif.
b. Memeriksa metode otorisasi dan menguji tanda tangan otorisasi.
c. Memeriksa dokumentasi untuk mengidentifikasi langkah-langkah
pemrosesan serta isi dan pengendalian sumber data.
d. Mendiskusikan pengendalian data sumber dengan personel
pengendalian data.
4. Proses audit: Uji Pengendalian
a. Mengamati dan mengevaluasi departemen pengendalian data.
b. Memverifikasi pemeliharaan yang baik.
c. Menguji data sumber untuk otorisasi yang benar
d. Merokonsiliasi total batch dan menindak lanjuti ketidaksesuaian
5. Pengendalian Kompensasi
a. Pengendalian pengguna dan pengolahan data yang kuat

12
 Tujuan 6: File Data.
Pendekatan pengauditan dapat diimplementasikan menggunakan sebuah
checklist prosedur bagi setiap tujuan. Checklist membantu auditor mencapai
kesimpulan terpisah untuk tiap-tiap tujuan. Masing-masing dari enam
checklist dilengkapi setiap aplikasi yang signifikan.
Kerangka kerja untuk audit atas pengendalian file data
1. Jenis-jenis kesalahan dan penipuan
a. Penghancuran data tersimpan.
b. Modifikasi atau pengungkapan data tersimpan yang tidak diotorisasi.
c. Prosedur pengendalian.
d. Pengendalian akses login dan sebuah matriks pengendalian akses.
2. Prosedur Audit: Tinjauan Sistem
a. Memeriksa dokumentasi bagi operasi perpustakaan file.
b. Memeriksa kebijakan dan akses logis.
c. Memeriksa standar untuk perlindungan virus.
d. Menguji rencana pemulihan bencana.
3. Prosedur Audit: Pengujian atas Pengendalian
a. Mengamati dan mengevaluasi operasi perpustakaan file.
b. Memeriksa catatan atas penentuan dan modifikasi kata sandi.
c. Mengamati persiapan dan penyimpan off-site atas file backup.
d. Memverifikasi penggunaan efektif atas prosedur perlindungan virus.
4. Pengendalian Kompensasi
a. Pengendalian pengguna dan pengolahan data yang kuat.
b. Pengendalian keamanan computer yang efektif.

D. PERANGKAT LUNAK AUDIT

Computer-assisted audit techniques (CAATs) perangkat lunak audit,
disebut sebagai generalized audit software (GAS), yang menggunakan
spesifikasi disediakan auditor untuk menghasilkan sebuah program untuk
menjalankan fungsi audit, sehingga akanmenyederhanakan proses audit. Yang

13
 paling populer adalah Audit Control Language (ACL) dan interactive Data
Extraction and Analysis (IDEA).
General accounting Office (GAO) mencetak figure-figur dengan Internal
Revenue Service (IRS) dan menemukan bahwa ribuan veteran berbohong
tentang pendapatan mereka agar berhak memperoleh manfaat pensiun.
Untuk menggunakan CAAATs, para auditor memutuskannya
berdasarkan tujuan audit, mempelajari tentang file dan database yang
diaudit, mendesain laporan audit, dan menentukan bagaimana
menghasilkannya. Beberapa manfaat CAATs:
1. Meminta file data untuk memuat catatan memenuhi kriteria tertentu.
2. Membuat, memperbarui, membandingkan, mengunduh data.
3. Mengakses data dalam format yang berbeda.
4. Pengujian atas risiko tertentu.
5. Memformat serta mencetak laporan dan dokumen.
6. Membuat kertas kerja elektronik.

E. AUDIT OPERASIONAL SIA

Prosedur yang digunakan dalam audit operasional serupa dengan audit
atas sistem informasi dan laporan laporan keuangan. Perbedaan dasarnya
adalah lingkup audit. Audit operasional meliputi seluruh aspek atas
manajemen sistem. Tujuan dari audit operasional termasuk mengevaluasi
efektivitas, efisiensi, dan pencapaian tujuan.
Langkah pertama dalam audit operasional adalah perencanaan audit,
Langkah selanjutnya pengumpulan bukti, termasuk aktivitas berikut:
1. Memeriksa kebijakan dan dokumentasi pengoperasian.
2. Mengonfirmasi prosedur dengan manajemen.
3. Mengobservasi aktivitas pengoperasian.
4. Memeriksa rencana serta laporan finansial.
5. Menguji ketepatan atas informasi pengoprasian.
6. Menguji pengendalian.

14