Kontrol dan Audit Sistem Informasi MATERI Information System Control and Audit (Kontrol dan Audit SIstem Informasi) Matakuliah : Kontrol dan Audit Sistem Informasi PDF

Preview

Summary

MATERI Information System Control and Audit (Kontrol dan Audit SIstem Informasi) Matakuliah : Kontrol dan Audit Sistem Informasi Rini Astuti, M.T. BUKU-1 STMIK LIKMI BANDUNG 2019 Kontrol dan Audit Sistem Informasi Page 1 DAFTAR ISI DAFTAR ISI ............................................................

Description

MATERI Information System Control and Audit (Kontrol dan Audit SIstem Informasi)

Matakuliah : Kontrol dan Audit Sistem Informasi Rini Astuti, M.T.

BUKU-1

STMIK LIKMI BANDUNG 2019

Kontrol dan Audit Sistem Informasi

Page 1

DAFTAR ISI

DAFTAR ISI .................................................................................................................... 2 1. Pengertian Audit , Sistem Informasi dan Auditing Sistem Informasi ......................... 4 2. Tujuan Audit Sistem Informasi .................................................................................. 7 3. Gambaran Umum Tentang Audit System Informasi ................................................. 8 3.1

Audit teknologi informasi .................................................................................... 8

3.2

Audit Sistem Informasi ..................................................................................... 12

4. Teknik Audit Berbantuan Komputer ........................................................................ 14 4.1.

Keuntungan menggunakan TABK .................................................................... 16

4.2.

Software untuk Teknik Audit Berbantuan Komputer......................................... 17

4.2.1.

ACL (Audit Command Language) .............................................................. 17

4.2.2.

Software- software yang sejenis dengan ACL ........................................... 22

5. Teknik Audit ............................................................................................................ 31 5.1.

Evaluasi Struktur Pengendalian Intern ............................................................. 31

5.2.

Pengujian Ketaatan .......................................................................................... 31

5.3.

Kertas Kerja ..................................................................................................... 32

5.4.

Penggunaan Teknik Sistem dalam Pengembangan Sistem ............................ 32

5.5.

Alat Bantu Sistem............................................................................................. 33

6. Proses Audit Sistem Informasi ................................................................................ 35 7. Jenis Audit .............................................................................................................. 36 8. Audit TI ................................................................................................................... 37 8.1.

Sejarah singkat Audit TI ................................................................................... 38

8.2.

Metodologi Audit TI. ......................................................................................... 39

8.3.

Alasan dilakukannya Audit TI. .......................................................................... 40

8.4.

Manfaat Audit TI. .............................................................................................. 41

9. Prosedur Audit .......................................................................................................... 41 10.

Langkah-langkah Audit Pengolahan Data Elektronik (PDE) ................................ 43

11.

Bagan Audit ......................................................................................................... 44

12.

Kasus .................................................................................................................. 45

Kontrol dan Audit Sistem Informasi

Page 2

17. Daftar Pustaka......................................................................................................... 47

Kontrol dan Audit Sistem Informasi

Page 3

1. Pengertian Audit , Sistem Informasi dan Auditing Sistem Informasi Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Tujuannya adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima. Audit dari CISA/ Certified Information Systems Auditor (2013) adalah Systematic process by which a qualified, competent, independent team or person objectively obtains and evaluates evidence regarding assertions about a process for the purpose of forming an opinion about and reporting on the degree to which the assertion is implemented.”Proses sistematis oleh tim independen atau orang obyektif yang berkualifikasi dan kompeten untuk memperoleh dan mengevaluasi bukti mengenai pernyataan tentang proses bertujuan untuk menyatakan pendapat dan melaporkan sejauh mana pernyataan2 diimplementasikan yang memenuhi kumpulan standar. Dua definisi mengenai Auditing yang sering dikutip adalah definisi dari America Accounting dan definisi dari Arens dan kawan-kawan. Kedua definisi tersebut sebagaimana dikutip oleh Basalamah (2003) tampak berikut ini, Serta kesimpulan yang diambil dari kedua definisi tersebut. Auditing adalah suatu proses yang sistematis mengenai pengolahan dan penilaian bukti secara obyektif yang berkenaan dengan pernyataan mengenai tindakan-tindakan dan kejadian-kejadian ekonomi dengan tujuan menentukan tingkat kesesuaian antara pernyataan tersebut dengan hasil-hasilnya kepada pihak-pihak yang berkepentingan. (American Accounting Association, Committee on Basic Auditing Consepts, dalam Robetson, 1990) auditing adalah pengumpulan dan dan penilaian bukti mengenai informasi untuk menentukan dan melaporakan mengenai tingkat kesesuaian antara informasi tersebut dengan ketentuan yang ditetapkan. Auditing ini harus dilaksanakan oleh orang yang kompeten dan independen (Aren, Elder dan Beasley, 2003)

Kontrol dan Audit Sistem Informasi

Page 4

Auditing adalah suatu proses penilaian dan etestasi yang sistematis oleh orang (atau orang-orang) yang memiliki keahlian dan independen terhadap informasi mengenai aktivitas ekonomi suatu badan usaha, dengan tujuan untuk menentukan dan melaporkan tingkat kesesuaian antara informasi tersebut dengan ketentuan yang telah ditetapkan definisi ini tetap berlaku baik dalam audit terhadap organisasi yang tidak mengolah datanya dengan menggunakan computer atau audit non PDE ¼ ataupun dalam audit terhadap auditan yang telah mengolah data bisnis mereka dengan menggunakan computer atau audit PDE. Sistem Informasi, menurut businessdictionary.com adalah A combination of hardware, software, infrastructure and trained personnel organized to facilitate planning, control, coordination, and decision making in an organization. Secara praktis, Sistem informasi adalah aplikasi komputer untuk mendukung operasi dari suatu organisasi yang meliputi operasi, instalasi, dan perawatan komputer, perangkat lunak, dan data. Menurut Ron Weber (1999:10), Audit Sistem Informasi (Informatin System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit

adalah proses

pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer Dalam kaitannya dengan jenis-jenis audit, Basalamah (2003) mengatakan bahwa beberapa penulis menyebutkan jumlah jenis audit yang berbeda. Sebagaimana menyatakan tiga jenis, sedangkan sebagian menyatakan empat jenis . berapapun jumlah jenisnya, secara keseluruhan jenis-jenis audit adalah sebagai berikut (Basalamah, 2003): 1. Audit Finansial (Financial Audit) atau disebut juga audit extern (external audit) atau audit atas laporan keuangan (financial statement audit atau financial report audit). Audit ini dilakukan terhadap catatan-catatan dan system informasi suatu organisasi untuk menilai perusahaan swasta dilakukan oleh akuntansi public dengan menertibkan opini, sedangkan untuk badan usaha milik Negara / daerah Kontrol dan Audit Sistem Informasi

Page 5

(BUMN/BUMD) dilakukan oleh bapeka atau pihak yang lain ditunjuk. Laporan keuangan akan dikatakan wajar (unqualifield) apabila telah sesuai dengan standar akuntansi diterima umum (generally accepted accounting principles) yang ada di Indonesia disebut dengan standar akuntansi keuangan (SAK) dan ditertibkan oleh IAI, Unwualifield opinion adalah opini yang menunjukan tingkat tertinggi yang diberikan oleh auditor terhadap laporan keuangan yang diauditnya. 2. Audit operational (oprational audit) atau yang disebut juga audit kinerja (permormance audit) atau audit manajemen(manajemen audit) yaitu” suatu reviu atas salah atau bagian dari prosedur-prosedur dan metode-metode operasi suatu organisasi” (Aren dkk, 2003) dengan tujuan untuk memberikan rekomendasi mengenai kehematan dan efesiensi penggunaan suber-sumber daya, efektivitas pencapaian perusahaan” (Robetson, 1990). Sementara itu aren dkk (2003) menyatakan bahwa tujuan dari audit operational adalah untuk membantu agar organisasi tersebut dapat beroperasi secara lebih efektif dan efisien. 3. Audit internal (internal audit) yaitu suatu fungsi penilai yang independen yang ditetapkan (estabilished) dalam suatu organisasi untuk menguji dan mengevaluasi efektifitasnya sebagai pelayanan kepada oraganisasi tersebut. Tujuannya adalah untuk membantu para anggota organisasi tersebut dalam menjalankan kewajiban mereka secara efektif . pada akhirnya audit internal memberikan pelayanan kepada mereka secara efektif. Pada akhirnya audit internal memberikan pelayanan kepada mereka dalam bentuk analisis, penilaian, rekomendasi, konseling, dan informasi yang berkaitan dengan aktivitas-aktivitas yang dievaluasi” ( The Institue of Internal Auditors, dalam Robertson, 1990) Menurut Robertson, audit operasional adalah bagian dari audit internal. 4. Compliance Audit, yaitu suatu jenis audit yang bertujuan “untuk menentukan apakah auditan mengikuti prosedur-prosedur, hokum, atau peraturan –peraturan tertentu yang ditetapkan oleh otoritas yang lebih tinggi” (Arens dkk, 2003) dimana otoritas disini bisa dalam bentuk kontroler perusahaan, pemerintah (peraturan perundang-undangan), mitra perusahaan dalam pelaksanaan kontrak, dan sebagainya. Audit ketaatan ini pada dasarnya merupakan suatu proses untuk menentukan kesesuaian antara aktivitas ekonomi suatu organisasi dengan Kontrol dan Audit Sistem Informasi

Page 6

ketentuan yang berlaku. Beberapa jenis audit dapat diklasifikasikan kedalam audit ini, seperti audit khusus (special audit atau investigasi) terhadap penyelewengan yang mungkin dilakukan oleh seseorang, atau audit perpajakan terhadap aktivitas ekonomi wajib pajak dalam kaitannya dengan kewajiban pajak mereka. Vasarhelyi dan Lin (1990) menyatakan bahwa audit perpajakan merupakan suatu jenis audit tersendiri yang bertujuan menilai apakah surat pemberitahuan pajak (SPT) telah dinyatakan sesuai dengan peraturan perpajakan dan wajar.

2. Tujuan Audit Sistem Informasi Tujuan audit sistem informasi menurut Ron Weber (1999:11-13) secara garis besar terbagi menjadi empat tahap, yaitu: a. Pengamanan Aset Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan. b. Menjaga integritas data Integritas data (data integrity) adalah salah satu konsep dasar sistem inforamasi. Data memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang beanr bahkan perusahaan dapat menderita kerugian c. Efektifitas Sistem Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user d. Efisiensi Sistem Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih Kontrol dan Audit Sistem Informasi

Page 7

memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

e. Ekonomis Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

3. Gambaran Umum Tentang Audit System Informasi

Dalam kaitannya dengan pentingnya audit oleh pihak yang independen, guy, Alderman dan winters(1999) menulis sebagai berikut yang dikutip dari well steet journal edisi 16 maret 1998 menyebutkan bahwa kebutuhan audit ini melibatkan oleh adanya empat faktor yang mendasarinya, yaitu sebagai berikut : 1. Kompleksitas 2. Jarak 3. Bias dan motif penyaji 4. Konsekuensi Sebelum membahas lebih jauh tentang audit system informasi dapat dibagi menjadi : 3.1 Audit teknologi informasi

Auditing Teknologi Informasi muncul seiring dengan pesatnya teknologi informasi. Dimana peranan computer dalam proses auditing sangat penting. Bahkan sekarang ini mulai dari input, proses, dan autput setelah banyak yang menggunakan computer atau sudah tidak manual lagi. Pada dasarnya audit TI dapat dibedakan menjadi dua katagori, yaitu: Kontrol dan Audit Sistem Informasi

Page 8

a. Pengendalian Aplikasi(application Control) dan b. Pengendalian umu (General Control)

1.Informasi Gathering

6.Customer Satisfaction Evaluation

2.Review prior audit issues

IT Audit

5.Execut IT Audit Plan

3..Risk Assessme nt

4.Develop IT Audit Plan

Cakupan Audit TI

Tujuan pengendalian umum lebih menjamin integritas data yang terdapat didalam system computer yang sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemerosesan data. Sementara tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar kedalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.

Kontrol dan Audit Sistem Informasi

Page 9

Dalam audit teknologi informasi biasanya pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. Dalam pelaksanaannya auditor system informasi mengumpulkan bukti bukti yang memadai melalui berbagai teknik termasuk survey, interview, obeservasi dan review dokumentasi (termasuk review source code bila diperlukan). Hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencangkup pula bukti elektronis (dakta dalam bentuk file softcopy) biasanya auditor system informasi menerapkan teknik audit berbantuan computer disebut juga CAAT (Computer Aided AuditingTechnique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah dan lain-lain. Sesuai dengan standar Auditing ISACA (information system Audit and control Association), salain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencangkup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini di tuju dan batasan-batasan

distribusi laporan,

laporan juga harus memasukan temuan, kesimpulan, rekomendasi sebagaimana layaknya laporan audit pada umumnya.

1.Konsep-konsep Auditing Berikut dalah konsep auditing PDE: 

Evidence



Due Audit Care



Fair Presentation



Independence dan



Ethical Conduct

Masing masing konsep ini menempati posisi yang cukup penting dalam stuktur dari teori auditing.

Kontrol dan Audit Sistem Informasi

Page 10

2.Teknologi PDE Audit teknologi informasi PDE auditing adalah bentuk pengawasan dan pengendalian dari struktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama sama dengan audit financial dan autit internal, atau dengan kegiatan pengawasan dan evaluasi yang lain sejenis. Pada mulanya istilah ini dikenal dengan audit pemerosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan system informasi dalam perusahaan itu. Isitlah lain dari audit teknologi informasi adalah audit computer yang banyak dipakai untuk menentukan apakah asset system informasi perusahaan itu setelah bekerja secara efektif, dan integrative dalam mencapai target organisasinya.

3. Jenis Jenis Audit PDE 1. System and Application pemrosesan melalui aplikasi perangkat lunak computer yang dikelola melalui system, sehingga proses auditnya sendiri akan meliputi verifikasi terhadap system untuk memastikan kebenaran, kehandalan, kecepatan maupun keamanan pada saat pengiriman, pemerosesan serta pengeluaran informasi di setiap tingkatan kegiatan system. 2. Information Processing facilities Merupakan komponem yang terkait dengan fasilitas-fasilitas yang digunakan untuk mengolah informasi di suatu organisasi. Biasanya ini terkait dengan perangkat keras seperti misalnya scanner computer server, formulir dsb. 3. System development Adalah bagian dari proses pengembangan maupun pengembangan dari system yang sudah ada dalam suatu organisasi sesuai tujuan-tujuan aktivitasnya. 4. Managemen of IT and Enterprise Architectur Pengelolaan atas teknologi informasi serta arsitektur seluruh lingkup internal organisasi yang ditetapkan oleh manajemen hal tersebut Kontrol dan Audit Sistem Informasi

Page 11

memerlukan proses audit yang dilaksanakan untuk memastikan apakah segenap

lingkungan/komponen

organisasi

dalam

pemerosesan

informasinya dilakukan secara terkendali dan efisien. 5. Client/Server, Telecommunications, intranets, end extranets computer, pralatan telekomunikasi, system jaringan komunikasi data elektronik (intranet/Ektranet) serta perangkat-perangkat keras. Pengelolaan data elektronik lainnya adalah komponen dari sebuah teknologi informasi. 3.2 Audit Sistem Informasi Berikut ini adalah yang melatar belakangi pentingnya Audit SI a. Konsekuensi dari hilangnya sumber data b. Kemungkinan salah alokasi yang disebabkan keputusan dari data yang tidak benar c. Kemungkinan kerusakan komputer manakala sistem komputer tidak terkendali d. Nilai yang tinggi dari perangkat keras , perangkat lunak dan personalia komputer e. Biaya yang tinggi dari kerusakan komputer f. Kebutuhan terhadap pemeliharaan dan kerahasiaan (privacy) dari setiap pribadi g. Kebutuhan terhadap pengendalian dari perkembangan penggunaan komputer. h. Memperbaiki pengelolaan teknologi informasi

IS Auditing

Organization

Kontrol dan Audit Sistem Informasi Inproved Improved Safeguardin Data g Of assets Integrity

Improved System Efectiveness

Page 12 Improved system Efeciency

Pentingnya Audit SI (Sumber: Ron Weber -1999) 

Konsep auditing system informasi<...