PERTEMUAN
10
AUDIT
SISTEM
INFORMASI
AKUNTANSI
A. TUJUAN PEMBELAJARAN
Pada pertemuan ini akan dijelaskan mengenai ruanglingkup audit sistem
informasi akuntansi . Anda harus mampu :
1. Menjelaskan konsep dasar audit, standar – standar audit internal serta dapat
mengidentifikasi jenis – jenis dari kegiatan audit.
2. Memahami tinjauan menyeluruh proses audit sistem informasi
3. Mengetahui pengaruh perkembangan teknologi terhadap penerapan tehnik audit
berbantuan komputer
4. Memahami audit operasional atas sistem informasi akuntansi
B. URAIAN MATERI
1. PENGERTIAN AUDIT
Pada dasarnya pemeriksaan atau yang lebih dikenal dengan istilah audit
bertujuan untuk menilai apakah pelaksanaan sudah selaras dengan apa yang telah
digariskan, maka dapat disimpulkan bahwa audit merupakan suatu proses
membandingkan antara kenyataan dengan seharusnya.
Pengertian Audit menurut Arens, et al (2006:11) adalah :
“Auditing is the accumulation and evaluation of evidence about information to determine and report on the degree of corespondence between the information and established criteria. Auditing should be done by a competent, independent person.”
Bahwa audit merupakan suatu proses yang sistematis dan secara objektif
mendapatkan dan menilai bukti mengenai assertion economic action dan
kesesuaian dengan kriteria yang ditetapkan dan mengkomunikasikan hasilnya
pada pihak-pihak yang berkepentingan.
Berdasarkan institute of internal auditor (IIA), tujuan dari audit internal
adalah untuk mengevaluasi kecukupan dan efektivitas sistem pengendalian
intenal perusahaan serta mendapatkan keluasan dari pelaksanaan tanggungjawab
yang benar-benar dilakukan. Kelima standar lingkup audit IIA memberikan garis
besar atas tanggung jawab audit internal:
1. Melakukan tinjauan atas keandalan dan integritas informasi operasional dan
keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan
dilaporkan.
2. Menetapkan apakah sistem telah didesain untuk sesuai dengan kebijakan
operasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan
yang berlaku.
3. Melakukan tinjauan mengenai bagaimana aset dijaga, dan memverifikasi
keberadaan aset tersebut.
4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif
dan efisien mereka digunakan.
5. Melakukan tinjauan atas operasional dan program perusahaan, untuk
menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah
mereka dapat memenuhi tujuan-tujuan mereka.
3. JENIS-JENIS KEGIATAN AUDIT INTERNAL
1. Audit keuangan memeriksa keandalan dan integritas catatan-catatan
akuntansi (baik informasi keuangan dan operasional) dan menghubungkannya
dengan standar pertama dari kelima standar lingkup audit internal.
2. Audit sistem informasi melakukan tinjauan atas pengendalian SIA untuk
menilai kesesuaiannya dengan kebijakan dan prosedur pengendalian serta
efektivitas dalam menjaga aset perusahaan. Lingkupnya secara kasar
berhubungan dengan standar kedua dan ketiga dari IIA.
3. Audit operasional atau manajemen berkaitan dengan penggunaan secara
ekonomis dan efisien sumber daya, serta pencapaian sasaran dan tujuan yang
telah ditetapkan. Lingkupnya berhubungan dengan standar keempat dan
4. TINJAUAN MENYELURUH PROSES AUDIT
Seluruh audit menggunakan urutan kegiatan yang hampir sama, sehingga
dapat dibagi kedalam empat langkah: merencanakan, mengumpulkan bukti,
mengevaluasi bukti, dan mengkomunikasikan hasil audit.
1. Merencanakan Audit
Tujuan dari perencanaan audit adalah untuk menetapkan mengapa,
bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama
dalam perencanaan audit adalah menetapkan lingkup dan tujuan audit.
2. Mengumpulkan Bukti Audit
Sebagian besar usaha audit dihabiskan untuk mengumpulkan bukti.
Berikut ini adalah metode-metode yang paling umum digunakan untuk
mengumpulkan bukti audit:
a) Pengamatan atas berbagai kegiatan yang diaudit (contohnya,
memperhatikan bagaimana cara pegawai memasuki lokasi komputer atau
bagaimana personil pengendalian data menangani kegiatan permoresan
data begitu data diterima).
b) Melakukan tinjauan atas dokumentasi untuk memahami bagaimana suatu
SIA atau Sistem Pengendalian Internal berfungsi
c) Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana
mereka melaksanakan beberapa prosedur tertentu.
d) Kuesioner yang dapat mengupulkan data mengenai sistem terkait.
e) Pemeriksaan fisik jumlah dan/atau kondisi aset berwujud seperti
perlengkapan, persediaan, atau kas.
f) Melakukan konfirmasi atas ketetapan informsi tertentu, seperti saldo
rekening pelanggan, melalui komunikasi dengan pihak ketiga yang
independen.
g) Melakukan ulang prosedur pilihan perhitunan tertentu untuk
memverifikasi informasi kuantitatif dan beberapa catatan dan laporan
(contohnya, auditor dapat menghitung kembali suatu total batch atau
h) Pembuktian untuk mendapatkan validitas sebuah transaksi dengan cara
memeriksa seluruh dokumen pendukungnya, seperti pesanan pembelian,
laporan penerimaan, dan faktur penjualan dari pemasok yang transaksi
utang usaha.
i) Tinjauan analitis atas hubungan dan tren atas informasi untuk mendeteksi
hal-hal yang harus diselidiki lebih lanjut. (contohnya, seorang auditor
untuk jaringan toko baju menemukan bahwa disalah satu toko, rasio
piutang usaha terhadap penjualan sangat tinggi. Sebuah penyidikan
mengungkap bahwa manajer toko tersebut telah mangalihkan uang dari
hasil penagihan, untuk dipakai secara pribadi).
3. Mengevaluasi Bukti Audit
Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan
audit tertentu, dan memutuskan apakah bukti tersebut mendukung
kesimpulan atau tidak. Apabila kurang mendukung, auditor akan
merencanakan dan melaksanakan prosedur tambahan sampai bukti yang
cukup dapat dikumpulkan untuk membuat kesimpulan yang kuat.
Materialitas dan kepastian yang wajar merupakan hal yang penting
ketika ingin memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan
saat untuk mengevaluasi bukti. Oleh karena kesalahan selalu ada pada sistem
manapun, para auditor berfokus untuk mendeteksi dan melaporkan
kesalahan-kesalahan yang memiliki dampak signifikan pada interpretasi pihak
manajemen atas penemuan-penemuan audit.
Dalam seluruh tahapan audit, penemuan dan kesimpulan dengan
hati-hati didokumentasikan dalam lembar kerja audit. Dokumentasi sangatlah
penting pada tahap evaluasi untuk mencapai dan mendukung kesimpulan
akhir.
4. Mengkomunikasikan Hasil Audit
Auditor mempersiapkan laporan tertulis (dan kadang-kadang lisan) yang
meringkas penemuan-penemuan dan berbagai rekomendasi audit, dengan
referensi bukti pendukung dalam lembar kerja. Laporan ini disajikan kepada
pihak manajemen, komite audit, dewan komisaris, dan pihak-pihak lain yang
mnelaksanakan penelitian lanjut untuk memastikan bahwa rekomendasi
mereka telah diimplementasikan
5. AUDIT SISTEM INFORMASI
Audit Sistem Informasi adalah proses pengumpulan data dan
pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi
komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal
yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta
terjaminnya integritas data, keandalan serta efektifitas dan efesiensi
penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).
Tujuan audit Sistem Informasi adalah untuk meninjau dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan
audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini
dipenuhi:
1. Perlengkapan keamanan melindungi perlengkapan komputer, program,
komunikasi, dan data dari akses yang tidak sah, modifikasi, atau
penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi
khusus dan umum dari pihak manajemen.
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak
manajemen.
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah
akurat dan lengkap.
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat
diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah
ditetapkan.
6. TEKNIK DAN PROSEDUR YANG DIPERLUKAN UNTUK MELAKSANAKAN RENCANA AUDIT
1. Keamanan Keseluruhan
a) Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal
ini mencakup kerusakan yang disengaja dan tidak disengaja atas aset sistem;
akses tidak sah, pengungkapan atau modifikasi data dan program; pencurian;
serta interupsi atas kegiatan bisnis yang penting.
b) Prosedur pengendalian untuk meminimalkan kesalahan dan penipuan
keamanan. Hal ini mencakup mengembangkan rencana
keamanan/perlindungan informasi dari virus, mengimplementasikan firewall,
mengadakan pengendalian atas pengiriman data, dan mencegah serta
memulihkan diri dari kegagalan sistem atau bencana lainnya.
c) Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi komputer;
melakukan wawancara dengan para personilnya; meninjau kebijakan dan
prosedur; serta memeriksa daftar akses, kebijakan asuransi, dan rencana
pemulihan dari bencana
d) Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian
keamanan dengan cara mengamati prosedur, memverifikasi bahwa terdapat
pengendalian dan pengendalian tersebut berfungsi seperti dengan yang
diharapkan, menginvestigasi berbagai kesalahan atau masalah untuk
memastikan mereka ditangani dengan benar serta memeriksa berbagai uji
yang sebelumnya telah dilaksanakan. Contohnya, salah satu cara untuk
menguji pengendalian akses logika adalah dengan mencoba melanggar masuk
ke sistem. Selama audit keamanan sebuah badan pemerintah amerika serikat,
para auditor menggunakan terminal-terminal badan tersebut untuk
mendapatkan akses secara tidak sah ke sistem komputer mereka, mematikan
prosedur permeriksaan keamanannya, dan mengendalikan sistem tersebut
dari terminal yang mereka pakai. Kegagalan keamanan dapat terjadi karena
kurangnya pengendalian administratif dan software keamanan yang tidak
memadai.
e) Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah tidak
yang baik dan pemisahan tugas secara efektif atas pekerjaan yang tidak boleh
disatukan, dalam beberapa hal dapat mengimbangi keamanan komputer yang
kurang tersebut. Oleh karena hampir tidak mungkin
pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan keamanan
komputer yang kurang baik, para auditor harus sangat merekomendasikan
agar kelemahan keamanan tersebut diperbaiki.
2. Pengembangan Dan Perolehan Program
Dua hal yang dapat salah dalam pengembangan program :
a) Kesalahan yang tidak disengaja karena adanya kesalah pahaman atas
spesifikasi sistem atau kecerobohan pemrograman, dan
b) Perintah tidak sah yang dengan sengaja dimasukkan ke dalam program.
Masalah-masalah ini dapat dikendalikan dengan cara meminta
otorisasi serta persetujuan dari pihak manajemen dan pemakai, pengujian
keseluruhan, dan dokumentasi yang memadai.
Peran auditor dalam pengembangan sistem harus dibatasi sampai
pada peninjauan independen atas kegiatan pengambangan sistem. Untuk
mempertahankan objektivitas yang dibutuhkan dalam melaksanakan evaluasi
independen atas fungsi, para auditor harus tidak dilibatkan dalam
pengembangan sistem.
Selama peninjauan sistem, para auditor harus mendapat pemahaman
mengenai prosedur pengembangan dengan mendiskusikannya bersama pihak
manajemen, pemakai sistem, dan para personil sistem informasi. Mereka
juga harus meninjau kebijakan, prosedur, standar dan dokumentasi.
3. Modifikasi Program
Kesalahan dan penipuan yang terjadi dalam pengembangan program
dapat juga terjadi selama modifikasi program. Ketika sebuah perubahan
program diserahkan untuk persetujuan, sebuah daftar hal-hal yang akan
diperbarui harus disusun dan kemudian disetujui oleh pihak manajemen dan
pemakai program. Semua perubahan program harus diuji secara keseluruhan
dan didokumentasikan. Selama proses perubahan, versi opengembangan
yang diubah telah mendapatkan persetujuan akhir, perubahan tersebut
diimplementasikan dengan cara mengganti versi produksi dengan versi
pengembangan.
4. Pemrosesan Komputer
Fokus tujuannya adalah pemrosesan transaksi, file, dan catatan
komputer untuk memperbarui file serta database, dan yang digunakan untuk
menghasilkan laporan.
Dalam pemrosesan komputer, sistem bisa saja gagal mendeteksi input
yang salah, memperbaiki kesalahan input secara tidak tepat, memproses input
yang salah, atau menyebarkan atau mengungkap output secara tidak benar.
5. Data Sumber
Dalam sistem on-line, entri dan fungsi pemrosesan data sumber
merupakan satu kesatuan operasi. Oleh sebab itu, pengendalian dta sumber
seperti otorisasi yang memadai dan edit input data, diintergrasikan dengan
pengendalian pemrosesan. Para auditor harus memastikan bahwa fungsi
penendalian data independen dari fungsi lainnya, memelihara daftar
pengendalian data, menangani kesalahan dan memastikan efisiensi umum
operasinya. Biasanya tidak layak secara ekonomi bagi perusahaan kecil dan
instalasi PC untuk memiliki fungsi pengendalian data yang independen.
Untuk mengimbanginya, pengendalian departemen pemakai harus lebih
kuat dalam hal persiapan data, pengendalian jumlah total batch, program
edit, pembatasan atas akses secara fisik dan logika ke sistem, dan prosedur
penanganan kesalahan. Prosedur-prosedur ini harus menjadi fokus tinjauan
sistem dan uji pengendalian auditor, ketika tidak didapati adanya fungsi
penendalian data yang independen.
6. File Data
Tujuan ini meliputi akurasi, integritas, dan keamanan data yang
disimpan dalam file yang dapat dibaca oleh mesin. Risiko penyimpanan data
mencakup modifikasi tidak sah, penghancuran, atau pengungkapan data.
Apabila pengendalian file sangat lemah, terutama dalam kaitannya dengan
pemulihan file, maka auditor harus sangat merekomendasikan perbaikan
atas kelemahan-kelemahan tersebut.
7. SOFTWARE KOMPUTER
Beberapa program komputer, yang disebut computer audit software (CAS)
atau generalized audit software (GAS) telah dibuat secara khusus untuk auditor.
Program tersebut tersedia di pemasok software dan kantor akuntan publik besar.
Pada dasarnya, CAS adalah program komputer yang, berdasarkan spesifikasi dari
auditor, yang menghasilkan program yang melaksanakan fungsi-fungsi audit. CAS
idealnya sesuai untuk pemeriksaan file data yang besar, untuk mengidentifikasi
catatan-catatan yang membutuhkan pemeriksaan audit lebih lanjut.
Tujuan utama dari CAS adalah untuk membantu auditor dalam melakukan
tinjauan serta menarik informasi dari berbagai file komputer. Ketika auditor
menerima laporan dari CAS, sebagian besar kegiatan audit akan tetap harus
dilaksanakan. Hal-hal yang termasuk dalam pengecualian harus diselidiki, jumlah
total file harus diverifikasi dengan sumber informasi lainnya, seperti buku besar,
dan sampel-sampel audit harus diselidiki serta dievaluasi. Walaupun kelebihan
menggunakan CAS sangat banyak dan dapat dipercaya, CAS tidak dapat
menggantikan penilaian auditor atau membebaskan auditor dari tahap-tahap
audit lainnya.
8. AUDIT OPERASIONAL ATAS SUATU SIA
Berbagai teknik dan prosedur yang digunakan dalam audit operasional
hampir sama dengan yang diterapkan dalam audit sistem informasi dan
keuangan. Perbedaan utamanya adalah bahwa lingkup audit sistem informasi
dibatasi pada pengendalian internal, sementara lingkup audit keuangan dibatasi
pada audit sistem. Sebaliknya, lingkup audit operasional lebih luas, melintasi
seluruh aspek manajemen sistem informasi. Sebagai tambahan, tujuan audit
operasional mencakup faktor-faktor seperti efektivitas, efisiensi, dan pencapaian
Langkah pertama dalam audit operasional adalah perencanaan audit, yaitu
masa pembuatan lingkup dan tujuan audit, tinjauan awal dalam sistem dilakukan,
dan program audit sementara dipersiapkan.
9. ANCAMAN-ANCAMAN ATAS SISTEM INFORMASI AKUNTANSI
1. Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena
bencana alam dan politik, seperti:
a) Kebakaran atau panas yang berlebihan
b) Banjir, gempa bumi
c) Badai angin dan perang
2. Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak
berfungsinya peralatan, seperti:
a) Kegagalan software
b) Kesalahan atau terdapat kerusakan pada software, kegagalan sistem
operasi, gangguan dan fluktuasi listrik.
c) Serta kesalahan pengiriman data yang tidak terdeteksi.
3. Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja,
seperti:
a) Kecelakaan yang disebabkan kecerobohan manusia
b) Kesalahan tidak disengaja karena teledor
c) Kehilangan atau salah meletakkan
d) Kesalahan logika
e) Sistem yang tidak memenuhi kebutuhan perusahaan
4. Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja,
seperti:
a) Sabotase
b) Penipuan komputer
c) Penggelapan
5. Beberapa ancaman lainnya adalah
a) Merekrut karyawan yang tidak kualified hiring of unqualified.
c) Perubahan yang tidak diotorisasi pada file induk pembayaran (master
payroll file)
d) Ketidakakuratan data waktu (Inccurate time data)
e) Ketidakakuratan proses pembayaran
f) Pencurian atau kecurangan pendistribusian pembayaran
g) Kehilangan atau tidak terotorisasi data pembayaran
h) Performansi jelek.
C. LATIHAN SOAL/TUGAS
1. Jelaskanlah masing-masing pengendalian input (input control) untuk memastikan
bahwa berbagai transaksi valid dan akurat dan lengkap yang terdiri dari terdiri
dari :
a).Pengendalian dokmen sumber,
b).Pengendalian Pengolahan data.
c).Pengendalian validasi.
d).Pengendalian kesalahan input,
e).Pengendalian sistem input data umum
2. jelaskan maksud dari audit sistem informasi!
3. Jelaskan empat langkah kegiatan audit!
D. DAFTAR PUSTAKA
Referensi buku:
1. James A hall , Accounting Information System , penerbit salemba empat
