Dr. Imam Subaweh, SE., Ak.

, MM
REFERENSI
REFERENSI
1. 1.
Anies S.M. Basa
Anies S.M. Basa
ma
ma
lah,
lah,
Auditing SI
Auditing SI
dengan Standar
dengan Standar
IAI
IAI
, Penerbit Usaha Kami,
, Penerbit Usaha Kami,
2003
2003
2. 2.
D.P. Dube and V.P. Gulati,
D.P. Dube and V.P. Gulati,
Information
Information
System Audit and Assurance
System Audit and Assurance
, Tata
, Tata
McGraw
McGraw
-
-
Hill Publishing Company Limited,
Hill Publishing Company Limited,
New Delhi, 2005.
New Delhi, 2005.
3. 3.
Sanyoto Gondodiyoto,
Sanyoto Gondodiyoto,
Audit Sistem
Audit Sistem
Informasi Pendekatan CobIT,
Informasi Pendekatan CobIT,
Penerbit
Penerbit
Mitra Wacana Media, Jakarta, 2007.
Mitra Wacana Media, Jakarta, 2007.
REFERENSI
REFERENSI
4. 4.
Sanyoto Gondodiyoto, Au
Sanyoto Gondodiyoto, Au
dit Sistem
dit Sistem
Informasi Lanjutan, Standar, Panduan,
Informasi Lanjutan, Standar, Panduan,
dan Prosdur Audit SI dari ISACA
dan Prosdur Audit SI dari ISACA
,
,
Penerbit Mitra Wacana Media, Jakarta,
Penerbit Mitra Wacana Media, Jakarta,
2007.
2007.
5. 5.
Watne, Donald A. dan Peter B.B Turney,
Watne, Donald A. dan Peter B.B Turney,
Auditing EDP System
Auditing EDP System
, Englewood Cliffs,
, Englewood Cliffs,
New Jersey: Prentice Hall, Inc., 1990
New Jersey: Prentice Hall, Inc., 1990
6. 6.
Work Book,
Work Book,
ACL for Windows
ACL for Windows
9.0
9.0
ACL
ACL
Services Ltd, 200
Services Ltd, 200
6
6
.
.
DEFINISI AUDIT SISTEM INFORMASI
Computer Auditing is the evaluation of computer
information system, practices and operations to
assure the integrity of an entitys information.
The evaluation can include the assessment of
how efficient, effective, and economical
computer based practice are. This includes the
use of the computer and audit tool. Also the
evaluation should determine the adequacy of
internal control whithin the computer information
systems environment to assure valid, reliable,
and secure information services. (Gallegos, Richardson,
and Borthick)
DEFINISI AUDIT SISTEM INFORMASI
Audit Sistem informasi adalah the process
of collecting and evaluating evidence to
determine whether a computer systems
safeguards assets, maintains data
integrity, achieve organization goals
effectively, and consumes resource
efficiently. (Ron Weber)
Sistem
Informasi
Komputer (SIK)
Sistem
Informasi
Komputer (SIK)
SIK Berjalan Secara
Ekonomis, Efisien
Dan Efektif
SIK Berjalan Secara
Ekonomis, Efisien
Dan Efektif
SIK Telah
Menerapkan SPI
Secara Memadai
SIK Telah
Menerapkan SPI
Secara Memadai
Untuk
menentukan
apakah
Tujuan
Organisasi
Tujuan
Organisasi
Informasi
Terintegrasi
Valid, Reliable
Secure
Meng-
hasilkan
Mendorong operasi perusahaan yg efisien
Medorong dipatuhinya kebijakan manajemen
Melindungi asset
Untuk
menentukan
apakah
Menjamin keakuratan dan keandalan data akuntansi
Proses
Pengumpulan
dan Evalusi
Bukti
Proses
Pengumpulan
dan Evalusi
Bukti
Efisien
Efektif
Mencapai
Thd
AUDIT SISTEM INFORMASI
PENGGOLONGAN AUDIT SI
Audit SI
dalam Rangka
Audit Laporan Keuangan
Audit SI
dalam Rangka
Audit Laporan Keuangan
Audit SI
Sbg Kegiatan TI
Audit SI
Sbg Kegiatan TI
AUDIT
SISTEM
INFORMASI (SI)
AUDIT
SISTEM
INFORMASI (SI)
Untuk menilai apakah
laporan keuangan yang
dihasilkan oleh sistem
informasi akuntansi
tersebut sesuai dengan
standar akuntansi
keuangan
Untuk menilai apakah
pengelolaan SI pada suatu
organisasi berjalan secara
efektif, efisien, dan ekonomis.
Auditor internal, dan mungkin
auditor eskternal
Standar atestasi yang
dikeluarkan organisasi profesi
(IAI di Indonesia, AICPA di
USA).
Control Objectives for
Information and Related
Tecnology (CobIT)
Tujuan
Akuntan beregister
(CPA)/auditor eksternal
Standar Profesional
Akuntan Publik (SPAP).
Committee of Sponsoring
Organization (COSO)
Auditor
Panduan
Ref SPI
Penggolongan Audit Sistem Informasi
1. Audit Laporan Keuangan (general audit on financial
statement)
Audit terhadap sistem informasi akuntansi berbasis teknologi
informasi untuk menilai apakah laporan keuangan yang
dihasilkan oleh sistem informasi akuntansi tersebut sesuai
dengan standar akuntansi keuangan.
Kualifikasi auditornya adalah akuntan beregister (CPA)/auditor
eksternal.
Panduan yang digunakan dalam audit adalah Standar
Profesional Akuntan Publik (SPAP).
Referensi model sistem pengendalian internalnya adalah
Committee of Sponsoring Organization (COSO)
Bahan bukti utama audit adalah data akuntansi dan internal
kontrol.
Penggolongan Audit Sistem Informasi
2. Audit Sistem Informasi, sebagai kegiatan
tersendiri yang terpisah dari audit
keuangan.
Sebagai suatu audit operasional terhadap
manajemen sumberdaya informasi untuk
menilai apakah pengelolaan SI pada suatu
organisasi berjalan secara efektif, efisien,
dan ekonomis.
Penggolongan Audit Sistem Informasi
Audit dilakukan oleh auditor internal (tidak
menutup kemungkinan oleh auditor
eskternal).
Panduan audit mengacu pada standar
atestasi yang dikeluarkan organisasi profesi
(IAI di Indonesia, AICPA di USA, CICA untuk
Kanada).
Referensi model sistem pengendalian
internalnya adalah CobIT
Persamaan Persamaan Audit Audit Konvensonal Konvensonal dengan dengan Audit SI Audit SI
Konvensional Audit
Konvensional Audit
Audit SI
Audit SI
Persamaan
Audit
Persamaan
Audit
Definisi
Proses pengumpulan dan penilaian bukti guna menentukan dan melaporkan kesesuaian bukti dengan kriterianya
Auditor
Internal auditor, external auditor, atau pemeriksa khusus (campuran antara intern dan ekstern)
Tujuan
Bagi pemeriksa intern bertujuan menilai 3E (efektifitas, efisiensi dan ekonomis) dari operasi manajemen. Dalam
pemeriksaan umum oleh akuntan publik tujuannya menilai kewajaran penyajian laporan keuangan dan
kesesuaiannya dengan SAK.
Opini
Terdiri dari empat jenis opini, yaitu Unqualified, Qualified, Adverse, dan Disclaimer
Norma Pemeriksaan
Standar Profesional Akuntan Publik (SPAP) yang di Indonesia diterbitkan oleh IAI terdiri dari standar umum,
standar pekerjaan lapangan dan standar pelaporan.
Persamaan Audit Konv dengan Audit Sistem
informasi
Definisi Auditing. Pemriksaan SI tidak
mengubah definisi auditing. Hal ini
berarti bahwa proses pengumpulan
dan penilaian bukti guna menentukan
dan melaporkan kesesuaian bukti
tersebut dengan kriterianya akan tetap
tidak berubah.
Persamaan Audit Konv dengan Audit Sistem
informasi
Pemeriksanya (Auditor). Pemeriksaan SI,
sebagaimana pemeriksaan non SI, dapat dilakukan
oleh pemeriksa intern (internal auditor), pemeriksa
ekstern (external auditor), atau pemeriksa khusus
(campuran antara intern dan ekstern) seperti yang
dilakukan oleh Badan Pemeriksa Keuangan(BPK).
Organisasi profesi akuntan di Indonesia (IAI)
melarang audit SIA dilakukan oleh tenaga ahli
komputer dalam pemeriksaan SI yang digunakan.
Hal ini berarti seorang auditor, baik pemeriksa
intern, pemeriksa ekstern atau pemriksa khusus,
maka ia dapat melakukan pemeriksaan SI.
Persamaan Audit Konv dengan Audit Sistem
informasi
Tujuan Pemeriksaan. Tujuan pemriksaan
juga tidak berubah. Bagi pemeriksa intern
atau dalam pemeriksaan operasional
tujuannya tetap sama, misalnya untuk
menilai 3E (efektifitas, efisiensi dan
ekonomis) dari operasi manajemen. Dalam
pemeriksaan umum oleh akuntan publik
tujuannya juga tetap sama, yaitu menilai
kewajaran penyajian laporan keuangan dan
kesesuaiannya dengan standar Akuntansi
Keuangan (SAK).
Persamaan Audit Konv dengan Audit Sistem
informasi
Opini Auditor. Apabila pemeriksaan dilakukan oleh
akuntan publik terhadap laporan keunagan, maka
opini yang akan diberikannya juga tidak berubah,
baik laporan keuangan tersebut dihasilkan dengan
bantuan komputer atau tidak. Pernyataan tersebut
tetap terdiri dari empat jenis, yaitu wajar tanpa
syarat, dengan syarat (kualifikasi), tidak setuju, dan
menolak memberikan pendapat. Kondisi-kondisi
untuk memberikan tersebut juga tidak berubah, yaitu
adanya tidaknya pembatasan lingkup pemeriksaan,
sesuai tidaknya laporan keuangan tersebut dengan
SAK. Apakah auditor dapat memroleh keyakinan
atau tidak mengenai kewajaran laporan keuangan,
atau apakah laporan keuangan tersebut secara
material menyesatkan (misleading) atau tidak.
Persamaan Audit Konv dengan Audit Sistem
informasi
Norma Pemeriksaan. Standar Profesional Akuntan
Publik (SPAP) diterbitkan oleh IAI terdiri dari standar
umum, standar pekerjaan lapangan dan standar
pelaporan. Ketiga standar atau norma tersebut
masih tetap berlaku, baik perusahaan yang
diperiksa tersebut menggunakan atau tidak
menggunakan komputer dalam pengolahan data
mereka. Norma-norma khusus yang diterbitkan oleh
organisasi-organisasi tertentu seperti Badan BPKP
atau SPI dari Badan Usaha Milik Negara/Daerah
(BUMN/BUMD) juga masih tetap berlaku. Hanya
saja, dengan adanya SPAP maka di Indonesia
seorang akuntan publik tidak diperkenankan lagi
oleh norma umum pemeriksaan akuntan tersebut
untuk menggunakan tenaga ahli komputer.
Persamaan Audit Konv dengan Audit Sistem
informasi
Tujuan Pengendalian. Dalam hal komputer
digunakan untuk memproses transaksi bisnis
atau untuk mengolah data, tujuan
pengendalian tetap tidak berubah. Struktur
(sistem) pengendalian intern yang terdiri dari
prosedur-prosedur, sistem akuntansi dan
lingkup pengendalian (control environment)
tetap dimaksudkan untuk mencegah,
mendeteksi dan memperbaiki kesalahan dan
penyalahgunaan yang mungkin timbul dalam
pelaporan keuangan.
Perbedaan
Perbedaan
Audit
Audit
Konvensonal
Konvensonal
dengan
dengan
Audit
Audit
Sistem
Sistem
Informasi
Informasi
Audit
Konvensional
Audit
Konvensional
Audit
SI
Audit
SI
Perbedaan
Audit
Perbedaan
Audit
Audit Trail
Pemisahan Tugas
Manfaat Penilaian PI
Pengetahuan Auditor
Teknik Audit
Perbedaan Audit Konv dengan Audit Sistem
informasi
Jejak Pemeriksaan (Audit Trail), yang
memungkinkan untuk menelusuri
transaksi dari sumber asalnya ke akun
yang bersangkutan atau sebaliknya
dalam bentuk yang hanya bisa dibaca
oleh komputer.
Perbedaan Audit Konv dengan Audit Sistem
informasi
Sering Terjadi Kurang Adanya
Pemisahan Tugas Dalam Lingkungan
SI. Alasan yang biasa digunakan
adalah sedikitnya personel dalam
organisasi tersebut.
Perbedaan Audit Konv dengan Audit Sistem
informasi
Dalam audit konvensional, manfaat peniliain
terhadap pengendalian adalah untuk
memenuhi norma pelaksanaan pemeriksaan,
merencanakan pemeriksaan serta untuk
menentukan sifat, dan banyaknya waktu yang
diperlukan untuk melakukan pemeriksaan
tersebut serta luasnya prosedur-prosedur
pemeriksaan dalam pengujian substantif.
Perbedaan Audit Konv dengan Audit Sistem
informasi
Dalam pemeriksaan SI, selain hal-hal di atas, penilaian terhadap
pengendalian intern juga memberikan manfaat lain sebagai berikut:
Untuk memperoleh keyakinan bahwa desain dan implementrasi dari program
aplikasi dilaksanakan sesuai dengan otorisasi dan ketentuan yang ditentukan
oleh manajemen.
Untuk memperoleh keyakinan bahwa setiap perubahan pada program aplikasi
telah diotorisasi oleh manajemen
Untuk memperoleh keyakinan bahwa terdapat peraturan yang memadai yang
menjamin keakuratan dan integritas dari pemrosesan oleh komputer atas fail
laporan serta hal-hal lain yang dihasilkan oleh komputer.
Untuk memperoleh keyakinan bawha sumber data yang tidak akurat maupun
yang tidak melalui prosedur otorisasi yang syah telah diidentifikasi dan telah
diambil tindakan-tindakan sesuai dengan kebijakan manajemen yang berlaku.
Untuk memperoleh keyakinan bahwa operator komputer dan pihak-pihak yang
mempunyai akses secara on line terhadap sistem tidak dapat mengubah
masukan, keluaran, maupun program yang ada tanpa otorisasi yang syah.
Untuk memperoleh keyakinan bahwa terdapat peraturan yang memadai untuk
melindungi fail yang ada dari akses dan modifikasi tanpa otorisasi terlebih
dahulu.
Perbedaan Audit Konv dengan Audit Sistem
informasi
Cara Yang Dilakukan Oleh Auditor Dalam
Pemeriksaan. Dalam mengaudit SI seorang
auditor dapat menggunakan cara-cara
(metode) : 1. audit around the computer, 2.
Audit through the computer, dan 3. audit with
the computer. Cara kedua dan ketiga hanya
dapat dilakukan apabila auditor memeriksa SI,
artinya tidak dapat dilakukan apabila
organisasi yang diaudit tidak dapat
memproses transaksi bisnisnya dengan
menggunakan komputer.
Perbedaan Audit Konv dengan Audit Sistem
informasi
Pengetahuan Yang Diperlukan Oleh Auditor. Standar
umum yang pertama dari SPAP menyatakan bahwa
pemeriksaan harus dilaksanakan oleh satu orang
pemeriksa atau lebih yang memeliki keahlian. Seperti
disebutkan sebelumnya, norma ini tetap berlaku.
Hanya saja keahlian dalam mengaudit SI di samping
keahlian tentang auditing dan akuntansi juga
diperlukan keahlian tentang komputer, Akan tetapi,
berbeda dengan sikap mental independen yang harus
dimiliki oleh setiap auditor, keahlian boleh dimiliki oleh
salah seorang dari tim pemeriksa.
Jenis - jenis EDP Audit
Audit Arround The Computer
Audit terhadap suatu penyelenggaraan sistem informasi berbasis
komputer tanpa menggunakan kemampuan dari peralatan itu
sendiri. Belum dilakukan pemeriksaan secara langsung terhadap
data atau program.
Audit With The Computer
Audit terhadap suatu penyelenggaraan sistem informasi berbasis
komputer dengan menggunakan komputer yang telah dilengkapi
dengan software yang dapat membantu auditor untuk
menghasilkan output yang digunakan untuk maksud audit.
Audit Through The Computer
Audit terhadap suatu penyelenggaraan sistem informasi berbasis
komputer dengan menggunakan fasilitas dan kemampuan komputer
yang digunakan. Tujuannya adalah untuk memeriksa kebenaran
software aplikasi (perhitungan), memastikan kehandalan dari
program aplikasi.
Sistem Informasi
Akuntansi
Dokumen
Transaksi
Pengujian proses
aktuntansi secara
manual
Laporan
Akuntansi
Pembandingan
hasil
Klien Auditor EDP
Auditor mengambil
sampel dokumen transaksi
Indikasi SIA
lemah
Indikasi SIA baik
Tidak sama
Sama
AUDIT ARROUND THE COMPUTER
Dokumen
Transaksi
Laporan
Akuntansi
Audit Around The Computer
Computer System Operation
Transaction
Computer
Processing
Output
Data Base
Selected Test
Transaction
Compare For
Accuracy and Validity
Output That Relates
To Test Transaction
AUDITORS TEST ON INPUT AND OUTPUT
Audit Trought The Computer
TEST
TRANSACTION
COMPUTER
PROGRAMS
PROCESSING
RESULT
AUDITORS
COMPARISON
OF RESULTS
WORKSHEET OF
PREDETERMINED
RESULTS
DATA BASE
WHAT IS
PROCESSING MANUALLY
BY THE AUDITOR TO
DETERMINE
WHAT SHOULD BE
COMPUTER PROCESSING
MANUAL PROCESSING
Audit With The Computer
Output
Computer
Processing
DATA BASE
SELECTED
CRITERIA
AUDIT
SOFTWARE