dr. imam subaweh, se., ak., mm - gunadarma...

Dr. Imam Subaweh, SE., Ak., MM

REFERENSIREFERENSI

1.1. Anies S.M. BasaAnies S.M. Basamamalah, lah, Auditing SI Auditing SI dengan Standardengan Standar IAIIAI, Penerbit Usaha Kami, , Penerbit Usaha Kami, 20032003

2.2. D.P. Dube and V.P. Gulati, D.P. Dube and V.P. Gulati, Information Information System Audit and AssuranceSystem Audit and Assurance, Tata , Tata McGrawMcGraw--Hill Publishing Company Limited, Hill Publishing Company Limited, New Delhi, 2005.New Delhi, 2005.

3.3. Sanyoto Gondodiyoto, Sanyoto Gondodiyoto, Audit Sistem Audit Sistem Informasi Pendekatan CobIT, Informasi Pendekatan CobIT, Penerbit Penerbit Mitra Wacana Media, Jakarta, 2007.Mitra Wacana Media, Jakarta, 2007.

REFERENSIREFERENSI

4.4. Sanyoto Gondodiyoto, AuSanyoto Gondodiyoto, Audit Sistem dit Sistem Informasi Lanjutan, Standar, Panduan, Informasi Lanjutan, Standar, Panduan, dan Prosdur Audit SI dari ISACAdan Prosdur Audit SI dari ISACA, , Penerbit Mitra Wacana Media, Jakarta, Penerbit Mitra Wacana Media, Jakarta, 2007.2007.

5.5. Watne, Donald A. dan Peter B.B Turney, Watne, Donald A. dan Peter B.B Turney, Auditing EDP SystemAuditing EDP System, Englewood Cliffs, , Englewood Cliffs, New Jersey: Prentice Hall, Inc., 1990New Jersey: Prentice Hall, Inc., 1990

6.6. Work Book, Work Book, ACL for Windows ACL for Windows 9.09.0 ACL ACL Services Ltd, 200Services Ltd, 20066..

DEFINISI AUDIT SISTEM INFORMASI

� Computer Auditing is the evaluation of computer information system, practices and operations to assure the integrity of an entity’s information. The evaluation can include the assessment of how efficient, effective, and economical computer based practice are. This includes the use of the computer and audit tool. Also the evaluation should determine the adequacy of internal control whithin the computer information systems environment to assure valid, reliable, and secure information services. (Gallegos, Richardson, and Borthick)

DEFINISI AUDIT SISTEM INFORMASI

� Audit Sistem informasi adalah the process of collecting and evaluating evidence to determine whether a computer systems safeguards assets, maintains data integrity, achieve organization goals effectively, and consumes resource efficiently. (Ron Weber)

SistemInformasi

Komputer (SIK)

SistemInformasi

Komputer (SIK)

SIK Berjalan SecaraEkonomis, Efisien

Dan Efektif

SIK Berjalan SecaraEkonomis, Efisien

Dan Efektif

SIK TelahMenerapkan SPISecara Memadai

SIK TelahMenerapkan SPISecara Memadai

Untukmenentukanapakah

TujuanOrganisasiTujuan

Organisasi

InformasiTerintegrasi

Valid, ReliableSecure

Meng-hasilkan

Mendorong operasi perusahaan yg efisien

Medorong dipatuhinya kebijakan manajemen

Melindungi asset

Untukmenentukanapakah

Menjamin keakuratan dan keandalan data akuntansi

ProsesPengumpulan

dan EvalusiBukti

ProsesPengumpulan

dan EvalusiBukti

Efisien

Efektif

MencapaiThd

AUDIT SISTEM INFORMASI

PENGGOLONGAN AUDIT SI

Audit SIdalam Rangka

Audit Laporan Keuangan

Audit SIdalam Rangka

Audit Laporan Keuangan

Audit SISbg Kegiatan TI

Audit SISbg Kegiatan TI

AUDITSISTEM

INFORMASI (SI)

AUDITSISTEM

INFORMASI (SI)

Untuk menilai apakahlaporan keuangan yang

dihasilkan oleh sisteminformasi akuntansi

tersebut sesuai denganstandar akuntansi

keuangan

Untuk menilai apakahpengelolaan SI pada suatuorganisasi berjalan secaraefektif, efisien, dan ekonomis.

Auditor internal, dan mungkinauditor eskternal

Standar atestasi yang dikeluarkan organisasi profesi (IAI di Indonesia, AICPA di USA).

Control Objectives for Information and Related Tecnology (CobIT)

Tujuan

Akuntan beregister(CPA)/auditor eksternal

Standar ProfesionalAkuntan Publik (SPAP).

Committee of Sponsoring Organization (COSO)

Auditor

Panduan

Ref SPI

Penggolongan Audit Sistem Informasi

1. Audit Laporan Keuangan (general audit on financial statement)� Audit terhadap sistem informasi akuntansi berbasis teknologi

informasi untuk menilai apakah laporan keuangan yang dihasilkan oleh sistem informasi akuntansi tersebut sesuaidengan standar akuntansi keuangan.

� Kualifikasi auditornya adalah akuntan beregister (CPA)/auditor eksternal.

� Panduan yang digunakan dalam audit adalah StandarProfesional Akuntan Publik (SPAP).

� Referensi model sistem pengendalian internalnya adalahCommittee of Sponsoring Organization (COSO)

� Bahan bukti utama audit adalah data akuntansi dan internal kontrol.


2. Audit Sistem Informasi, sebagai kegiatantersendiri yang terpisah dari audit keuangan.� Sebagai suatu audit operasional terhadap

manajemen sumberdaya informasi untukmenilai apakah pengelolaan SI pada suatuorganisasi berjalan secara efektif, efisien, dan ekonomis.


� Audit dilakukan oleh auditor internal (tidakmenutup kemungkinan oleh auditor eskternal).

� Panduan audit mengacu pada standaratestasi yang dikeluarkan organisasi profesi(IAI di Indonesia, AICPA di USA, CICA untukKanada).

� Referensi model sistem pengendalianinternalnya adalah CobIT

PersamaanPersamaan Audit Audit KonvensonalKonvensonal dengandengan Audit SIAudit SI

Konvensional AuditKonvensional Audit Audit SIAudit SI

PersamaanAudit

PersamaanAudit

DefinisiProses pengumpulan dan penilaian bukti guna menentukan dan melaporkan kesesuaian bukti dengan kriterianya

AuditorInternal auditor, external auditor, atau pemeriksa khusus (campuran antara intern dan ekstern)

TujuanBagi pemeriksa intern bertujuan menilai 3E (efektifitas, efisiensi dan ekonomis) dari operasi manajemen. Dalam

pemeriksaan umum oleh akuntan publik tujuannya menilai kewajaran penyajian laporan keuangan dan kesesuaiannya dengan SAK.

OpiniTerdiri dari empat jenis opini, yaitu Unqualified, Qualified, Adverse, dan Disclaimer

Norma PemeriksaanStandar Profesional Akuntan Publik (SPAP) yang di Indonesia diterbitkan oleh IAI terdiri dari standar umum,

standar pekerjaan lapangan dan standar pelaporan.

Persamaan Audit Konv dengan Audit Sistem informasi

� Definisi Auditing. Pemriksaan SI tidakmengubah definisi auditing. Hal iniberarti bahwa proses pengumpulandan penilaian bukti guna menentukandan melaporkan kesesuaian buktitersebut dengan kriterianya akan tetaptidak berubah.


� Pemeriksanya (Auditor). Pemeriksaan SI, sebagaimana pemeriksaan non SI, dapat dilakukanoleh pemeriksa intern (internal auditor), pemeriksaekstern (external auditor), atau pemeriksa khusus(campuran antara intern dan ekstern) seperti yang dilakukan oleh Badan Pemeriksa Keuangan(BPK). Organisasi profesi akuntan di Indonesia (IAI) melarang audit SIA dilakukan oleh tenaga ahlikomputer dalam pemeriksaan SI yang digunakan. Hal ini berarti seorang auditor, baik pemeriksaintern, pemeriksa ekstern atau pemriksa khusus, maka ia dapat melakukan pemeriksaan SI.


� Tujuan Pemeriksaan. Tujuan pemriksaan juga tidak berubah. Bagi pemeriksa intern atau dalam pemeriksaan operasional tujuannya tetap sama, misalnya untuk menilai 3E (efektifitas, efisiensi dan ekonomis) dari operasi manajemen. Dalam pemeriksaan umum oleh akuntan publik tujuannya juga tetap sama, yaitu menilai kewajaran penyajian laporan keuangan dan kesesuaiannya dengan standar Akuntansi Keuangan (SAK).


� Opini Auditor. Apabila pemeriksaan dilakukan oleh akuntan publik terhadap laporan keunagan, maka opini yang akan diberikannya juga tidak berubah, baik laporan keuangan tersebut dihasilkan dengan bantuan komputer atau tidak. Pernyataan tersebut tetap terdiri dari empat jenis, yaitu wajar tanpa syarat, dengan syarat (kualifikasi), tidak setuju, dan menolak memberikan pendapat. Kondisi-kondisi untuk memberikan tersebut juga tidak berubah, yaitu adanya tidaknya pembatasan lingkup pemeriksaan, sesuai tidaknya laporan keuangan tersebut dengan SAK. Apakah auditor dapat memroleh keyakinan atau tidak mengenai kewajaran laporan keuangan, atau apakah laporan keuangan tersebut secara material menyesatkan (misleading) atau tidak.


� Norma Pemeriksaan. Standar Profesional Akuntan Publik (SPAP) diterbitkan oleh IAI terdiri dari standar umum, standar pekerjaan lapangan dan standar pelaporan. Ketiga standar atau norma tersebutmasih tetap berlaku, baik perusahaan yang diperiksa tersebut menggunakan atau tidakmenggunakan komputer dalam pengolahan data mereka. Norma-norma khusus yang diterbitkan olehorganisasi-organisasi tertentu seperti Badan BPKP atau SPI dari Badan Usaha Milik Negara/Daerah(BUMN/BUMD) juga masih tetap berlaku. Hanyasaja, dengan adanya SPAP maka di Indonesia seorang akuntan publik tidak diperkenankan lagioleh norma umum pemeriksaan akuntan tersebutuntuk menggunakan tenaga ahli komputer.


� Tujuan Pengendalian. Dalam hal komputerdigunakan untuk memproses transaksi bisnisatau untuk mengolah data, tujuanpengendalian tetap tidak berubah. Struktur(sistem) pengendalian intern yang terdiri dariprosedur-prosedur, sistem akuntansi danlingkup pengendalian (control environment) tetap dimaksudkan untuk mencegah, mendeteksi dan memperbaiki kesalahan danpenyalahgunaan yang mungkin timbul dalampelaporan keuangan.

PerbedaanPerbedaan Audit Audit KonvensonalKonvensonal

dengandengan Audit Audit SistemSistem InformasiInformasi

AuditKonvensional

AuditKonvensional

AuditSI

AuditSI

PerbedaanAudit

PerbedaanAudit

Audit Trail

Pemisahan Tugas

Manfaat Penilaian PI

Pengetahuan Auditor

Teknik Audit

Perbedaan Audit Konv dengan Audit Sistem informasi

� Jejak Pemeriksaan (Audit Trail), yang memungkinkan untuk menelusuritransaksi dari sumber asalnya ke akunyang bersangkutan atau sebaliknyadalam bentuk yang hanya bisa dibacaoleh komputer.


� Sering Terjadi Kurang AdanyaPemisahan Tugas Dalam LingkunganSI. Alasan yang biasa digunakanadalah sedikitnya personel dalamorganisasi tersebut.


� Dalam audit konvensional, manfaat peniliain terhadap pengendalian adalah untuk memenuhi norma pelaksanaan pemeriksaan, merencanakan pemeriksaan serta untuk menentukan sifat, dan banyaknya waktu yang diperlukan untuk melakukan pemeriksaan tersebut serta luasnya prosedur-prosedur pemeriksaan dalam pengujian substantif.


� Dalam pemeriksaan SI, selain hal-hal di atas, penilaian terhadappengendalian intern juga memberikan manfaat lain sebagai berikut:� Untuk memperoleh keyakinan bahwa desain dan implementrasi dari program

aplikasi dilaksanakan sesuai dengan otorisasi dan ketentuan yang ditentukanoleh manajemen.

� Untuk memperoleh keyakinan bahwa setiap perubahan pada program aplikasitelah diotorisasi oleh manajemen

� Untuk memperoleh keyakinan bahwa terdapat peraturan yang memadai yang menjamin keakuratan dan integritas dari pemrosesan oleh komputer atas fail laporan serta hal-hal lain yang dihasilkan oleh komputer.

� Untuk memperoleh keyakinan bawha sumber data yang tidak akurat maupunyang tidak melalui prosedur otorisasi yang syah telah diidentifikasi dan telahdiambil tindakan-tindakan sesuai dengan kebijakan manajemen yang berlaku.

� Untuk memperoleh keyakinan bahwa operator komputer dan pihak-pihak yang mempunyai akses secara on line terhadap sistem tidak dapat mengubahmasukan, keluaran, maupun program yang ada tanpa otorisasi yang syah.

� Untuk memperoleh keyakinan bahwa terdapat peraturan yang memadai untukmelindungi fail yang ada dari akses dan modifikasi tanpa otorisasi terlebihdahulu.


� Cara Yang Dilakukan Oleh Auditor Dalam Pemeriksaan. Dalam mengaudit SI seorang auditor dapat menggunakan cara-cara (metode) : 1. audit around the computer, 2. Audit through the computer, dan 3. audit with the computer. Cara kedua dan ketiga hanya dapat dilakukan apabila auditor memeriksa SI, artinya tidak dapat dilakukan apabila organisasi yang diaudit tidak dapat memproses transaksi bisnisnya dengan menggunakan komputer.


� Pengetahuan Yang Diperlukan Oleh Auditor. Standar umum yang pertama dari SPAP menyatakan bahwa pemeriksaan harus dilaksanakan oleh satu orang pemeriksa atau lebih yang memeliki keahlian. Seperti disebutkan sebelumnya, norma ini tetap berlaku. Hanya saja keahlian dalam mengaudit SI di samping keahlian tentang auditing dan akuntansi juga diperlukan keahlian tentang komputer, Akan tetapi, berbeda dengan sikap mental independen yang harus dimiliki oleh setiap auditor, keahlian boleh dimiliki oleh salah seorang dari tim pemeriksa.

Jenis - jenis EDP Audit • Audit Arround The Computer

Audit terhadap suatu penyelenggaraan sistem informasi berbasiskomputer tanpa menggunakan kemampuan dari peralatan itusendiri. Belum dilakukan pemeriksaan secara langsung terhadapdata atau program.

• Audit With The ComputerAudit terhadap suatu penyelenggaraan sistem informasi berbasiskomputer dengan menggunakan komputer yang telah dilengkapidengan software yang dapat membantu auditor untukmenghasilkan output yang digunakan untuk maksud audit.

• Audit Through The ComputerAudit terhadap suatu penyelenggaraan sistem informasi berbasiskomputer dengan menggunakan fasilitas dan kemampuan komputeryang digunakan. Tujuannya adalah untuk memeriksa kebenaransoftware aplikasi (perhitungan), memastikan kehandalan dariprogram aplikasi.

Sistem InformasiAkuntansi

DokumenTransaksi

Pengujian prosesaktuntansi secara

manual

LaporanAkuntansiPembandingan

hasil

Klien Auditor EDP

Auditor mengambilsampel dokumen transaksi

Indikasi SIA lemah

Indikasi SIA baik

Tidak sama

Sama

AUDIT ARROUND THE COMPUTER

DokumenTransaksi

LaporanAkuntansi

Audit Around The ComputerComputer System Operation

Transaction

Computer Processing

Output

Data Base

Selected Test Transaction

Compare For Accuracy and Validity

Output That RelatesTo Test Transaction

AUDITOR’S TEST ON INPUT AND OUTPUT

Audit Trought The Computer

TEST TRANSACTION

COMPUTERPROGRAMS

PROCESSING RESULT

AUDITOR’SCOMPARISONOF RESULTS

WORKSHEET OF PREDETERMINED

RESULTSDATA BASE

WHAT ISPROCESSING MANUALLY

BY THE AUDITOR TODETERMINE

WHAT SHOULD BE

COMPUTER PROCESSING

MANUAL PROCESSING

Audit With The Computer

Output

Computer ProcessingDATA BASE

SELECTEDCRITERIA

AUDITSOFTWARE

dr. imam subaweh, se., ak., mm - gunadarma...

Documents