TUGAS SISTEM INFORMASI AKUNTANSI RANGKUMAN BUKU SISTEM INFORMASI AKUNTANSI KARANGAN MARSHALL B. ROMNEY DAN PAUL JOHN STEINBART BAB 11
Dosen Pengampu : Kunti Sunaryo, S.E., M.Si., Akt.
Disusun oleh: Kelompok 5 1. Rizkha Tamami
142160052
2. Ulfah Rahmawati
142160053
3. Indah Umestiana
142160054
4. Fatimah Nur Aini
142160066
5. Muhammad Khairil Azmi
142160071
JURUSAN AKUNTANSI FAKULTAS EKONOMI DAN BISNIS UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN” YOGYAKARTA
BAB 11 PENGAUDITAN SISTEM INFORMASI BERBASIS KOMPUTER
A. PENDAHULUAN
Pengauditan proses sistematik atas pengevaluasian bukti mengenai asersi-asersi
tentang
kejadian
ekonomi
dalam
rangka
menentukan
kesesuaiannya dengan kriteria yang ditetapkan. Pengauditan internal adalah sebuah aktivitas inderpenden, menjamin objektivitas serta konsultasi untuk menambah nilai serta meningkatkan efektivitas dan efisiensi organisasi. Ada beberapa jenis berbeda dari audit internal: 1. Audit Keuangan, Keuangan, memeriksa keterandalan dan integritas dari transaksitransaksi keuangan, catatan akuntansi, dan laporan keuangan 2. Audit Sistem Informasi Informasi atau Audit Pengendalian Internal, Internal, memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijakan dalam pengamanan aset 3. Audit Operasional, Operasional, pemeriksaan secara ekonomis dan efesien atas sumber daya dan pencapaian tujuan 4. Audit Kepatuhan, Kepatuhan, memntukan apakah entitas mematuhi kebijakan, dan prosedur yang berlaku 5. Audit Investigatif , menguji kejadian dari penipuan yang mungkin terjadi penyalahgunaan atau aktivitas tata kelola yang buruk Pengauditan eksternal bertanggung jawab pada para pemegang saham perusahaan. Auditor eksternal memerlukan kemampuan khusus untuk (1) menentukan bagaimana audit akan dipenuhi oleh TI, (2) menilai dan mengevaluasi pengendalian TI, (3) mendesain dan menjalankan baik pengujian atas pengujian TI.
2
B. SIFAT PENGAUDITAN Tinjauan Menyeluruh Proses Audit
1.
Perencanaan Audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Terdapat tiga jenis risiko audit: a. Risiko Bawaan, kelemahan terhadap risiko material karena tidak terjadinya pengendalian internal b. Risiko Pengendalian, risiko saat suatu salah saji material akan melampaui struktur pengendalian internal kedalam laporan keuangan c. Risiko Deteksi, risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji yang material.
2.
3.
Pengumpulan bukti audit a.
Observasi
b.
Pemeriksaan atas dokumentasi
c.
Diskusi dengan para pegawai
d.
Kuesioner
e.
Pemeriksaaan fisik atas kuantitas aset berwujud
f.
Konfirmasi atas ketepatan informasi
g.
Melakukan perhitungan ulang untuk verifikasi informasi kuantitatif
h.
Pemeriksaan bukti pendukung untuk validitas dari sebuah transaksi
i.
Tinjauan analisis atas hubungan dan trend antar-informasi
Evaluasi atas barang bukti audit a.
Auditor mengevaluasi bukti dan memutuskan bukti tersebut mendukung kesimpulan yang menguntungkan atau tidak.
b.
Auditor menentukan materialistas (jumlah kesalahan yang akan mempengaruhi keputusan dari pengguna informasi) apa yang penting dan tidak penting dalam audit.
c.
Auditor mencari penjaminan memadai bahwa tidak ada kesalahan material yang ada dalam informasi atau proses yang diaudit.
3
4.
Komunikasi audit Auditor mengirimkan laporan tertulis kepada manajemen, komite audit dan pihak yang berkepentingan lainnya kemudian diti ndaklanjuti.
Pendekatan Pendekatan audit berbasis-resiko berbasis-resiko
1.
Menentukan ancaman yang akan dihadapi perusahaan.
2.
Mengidentifikasikan prosedur pengendalian yang mencegah, mendeteksi dan memperbaiki ancaman.
3.
Mengevaluasi prosedur pengendalian. a.
Sebuah tinjauan sisitem menentukan apakah prosedur pengendalian benar-benar di laksanakan
b.
Uji
pengendalian
dilakuakan
untuk
menentukan
apakah
pengendalian yanga ada berjalan seperti yang dihendaki 4.
Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis waktu atau tingkat prosedur pengauditan
C. AUDIT SISTEM INFORMASI
Tujuan dalam melakukan audit sistem informasi: 1.
Ketentuan keamanan untuk melindungi peralatan komputer program, komunikasi dan data-data dari modifikasi.
2.
Pengembangan dan akuisisi program dilakukan sesuai dengan orientasi umum dan spesifikasi manajemen.
3.
Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4.
Pemrosesan transaksi, file dan laporan secara tepat dan lengkap.
5.
Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasikan dan ditangani berdasarkan kebijakan manajerial yang telah ditentukan.
6.
File data komputer tepat, lengkap dan rahasia.
4
Komponen-komponen Komponen-komponen sistem informasi dan tujuan audit terkait
5
Tujuan 1: Keamanan Secara Menyeluruh
Kerangka kerja untuk Audit Keamanan Keamanan Komputer secara Menyeluruh 1.
2.
3.
4.
5.
Jenis-jenis kesalahan dan Penipuan a.
Kerusakan yang tidak disengaja atau disengaja pada perangkat ker as.
b.
Akses yang tidak diotorisasi terhadap sumber daya sis tem.
c.
Kehilangan data rahasia.
d.
Modifikasi yang tidak diotorisasi program dan file data.
Prosedur Pengendalian a.
Rencana keamanan/perlindungan informasi
b.
Pembatasan atas akses fisik terhadap peralatan komputer
c.
Prosedur perlindungan virus
d.
File backup dan prosedur pemulihan
Prosedur Audit: Tinjauan Sistem a.
Memeriksa dengan seksama situs komputer.
b.
Memeriksa kebijakan dan prosedur file backup dan pemulihan.
c.
Memeriksa kebijakan dari prosedur penyimpanan dan transmisi data.
d.
Menguji log akses sistem.
Prosedur Audit: Pengujian Pengendalian a.
Mengamati dan menguji prosedur situs computer.
b.
Mengamati persiapan dan penyimpanan offsite atas file backup.
c.
Memverifikasi tingkat dan efektivitas dari enkripsi data
d.
Memverifikasi prosedur perlindungan virus yang efektif.
Pengendalian Kompensasi a.
Kebijakan personel yang kuat.
b.
Pengendalian pengguna yang efektif.
Tujuan 2: Pengembangan Program dan Akuisisi
Peran auditor dalam pengembangan sistem sebaiknya sebatas pada pemeriksaan independen atas aktivitas-aktivitas pengembangan sistem. Untuk menjaga objektivitas, auditor tidak diperbolehkan membantu pengembangan sistem.
6
Dua hal yang dapat menjadi kesalahan dalam pengembangan program 1.
Kelalaian pemrograman yang berkaitan dengan kurangnya pemahaman tentang spesifikasi sistem atau pemograman yang teledor
2.
Instruksi yang tidak diotorisasi dengan sengaja disisipkan ke dalam program Untuk menguji pengendalian pengembangan sistem, para auditor harus
mewawancarai para manajer dan pengguna sistem, menguji persetujuan pengembangan, dan memeriksa catatan pertemuan tim pengembangan. Kerangka Kerja untuk Audit Audit Pengembangan Program Program 1.
2.
3.
4.
Jenis-jenis kesalahan dan penipuan a.
Kelalaian pemrogaman atau kode program yang tidak diotorisasi.
b.
Pemeriksaan atas persetujuan lisensi perangkat lunak.
c.
Pengujian menyeluruh atas program baru.
d.
Dokumentasi sistem yang lengkap, termasuk persetujuan.
Prosedur Audit: Tinjauan Sistem a.
Pemeriksaan independen atas proses pengembangan sistem.
b.
Pemeriksaan atas standar evaluasi pemrograman.
c.
Pemeriksaan atas standar dokumentasi program dan sistem.
d.
Pemeriksaan atas kebijakan dan prosedur persetujuan pengujian.
Prosedur Audit: Pengujian Atas Pengendalian a.
Mewawancarai pengguna mengenai keterlibatan dalam sistem.
b.
Memverifikasi tujuan sign-off tujuan sign-off manajemen. manajemen.
c.
Memeriksa spesifikasi, data dan hasil pengujian sistem.
d.
Memeriksa persetujuan lisensi perangkat lunak.
Pengendalian Kompensasi a.
Pengendalian pemrosesan yang kuat.
b.
Pemrosesan independen atas data pengujian oleh audit.
7
Tujuan 3: Modifikasi Program
Ancaman yang terjadi dalam pengembangan program juga dapat terjadi selama modifikasi program. Kerangka Kerja untuk Audit Audit Modifikasi Program 1.
2.
3.
4.
Jenis-jenis Kesalahan dan Penipuan a.
Kelalaian pemrograman atau kode program yang tidak diotorisasi.
b.
Daftar komponen-komponen program yang dimodifikasi.
c.
Otorisasi dan persetujuan manajemen atas modifikasi program.
d.
Pengendalian akses logis.
Prosedur Audit: Tinjauan Sistem a.
Memeriksa kebijakan, standar, dan prosedur modifikasi program.
b.
Memeriksa standar evaluasi pemrograman.
c.
Memeriksa kebijakan serta prosedur modifikasi.
d.
Memeriksa kebijakan dan prosedur pengendalian akses logis.
Prosedur Audit: Pengujian Atas Pengendalian a.
Memverifikasi persetujuan sign-off persetujuan sign-off pengguna pengguna dan manajemen.
b.
Memverifikasi program yang dimodifikasi telah diidentifikasi.
c.
Mengamati implementasi perubahan program
d.
Pengujian atas perubahan program yang tidak diotorisasi.
Pengendalian Kompensatif a.
Pengujian audit independen atas perubahan program yang tidak diotorisasi.
b.
Pengendalian pemrosesan yang kuat.
Terdapat tiga cara auditor untuk menguji perubahan program yang tidak diotorisasi: 1.
Auditor menggunakan sebuah program untuk membandingkan versi terkini dari program dengan kode sumber.
2.
Auditor memproses ulang data menggunakan kode sumber dan membandingkan output-nya dengan output perusahaan.
3.
Dalam
simulasi
paralel,
auditor
menuliskan
sebuah
program,
membandingkan output, dan menyelidiki segala perbedaan.
8
Tujuan 4 : Pemrosesan Pemrosesan Komputer
Para auditor secara periodik mengevalusi ulang pengendalian pemrosesan untuk memastikan keterandalan berlanjutnya. Jika mereka tidak puas, pengendalian pengguna dan data sumber mungkin cukup kuat untuk mengimbangi. Jika tidak, terdapat sebuah kelemahan material, dan langkahlangkah harus diambil untuk mengeliminasi kekurangan pengendalian. 1.
Pengolahan Data Pengujian Satu cara untuk menguji sebuah program adalah memproses satu set hipotesis atas transaksi yang valid dan tidak valid. Seluruh path logis harus dicek dengan satu atau lebih transaksi-transaksi transaksi-tr ansaksi pengujian. Sumber daya berikut ini berguna ketika mempersiapkan pengujian data : a.
Sebuah daftar atas transaksi-transaksi aktual.
b.
Transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program.
c.
Sebuah tes pembuatan data. Dalam sebuah sistem pemrosesan batch, program perusahaan dan
salinan atas file-file yang relevan digunakan untuk mengolah data pengujian. Dalam sebuah sistem online, para auditor memasukkan data pengujian dan kemudian mengamati mengamati serta mencatat respons sistem. Pemrosesan transaksi pengujian memiliki dua kelemahan. Pertama, auditor harus menghabiskan waktu yang cukup banyak untuk memahami sistem dan menyiapkan transaksi-transaksi pengujian. Kedua, auditor harus memastikan bahwa data pengujian tidak memengaruhi file dan database perusahaan. 2.
Teknik-Teknik Audit Bersamaan Teknik audit bersamaan terus-menerus mengawasi sistem dan mengumpulkan bukti-bukti audit sementara data asli diproses selama jam pengoperasian reguler.
9
Para
auditor
biasnya
menggunakan
lima
teknik
audit
bersama
diantaranya : a.
Sebuah integrated test facility (ITF) menyisipkan catatan-catatan fiktif yang merepresentasikan divisi perusahaan.
b.
Dalam teknik snapshot, transaksi-transaksi yang terpilih ditandai dengan sebuah kode khusus.
c.
System control audit review file (SCARF) menggunakan modul audit yang dilekatkan untuk terus-menerus mengawasi aktivitas transaksi.
d.
Audit hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi tersebut terjadi.
e.
Continous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam sebuah sistem manajemen database.
Kerangka Kerja Untuk Audit atas Pengendalian Pengendalian Pemrosesan Komputer Komputer 1.
2.
3.
Jenis-jenis Kesalahan dan Penipuan a.
Kegagalan mendeteksi data input yang salah.
b.
Kegagalan untuk tidak mengoreksi kesalahan dengan benar.
c.
Distribusi atau pengungkapan yang tidak tepat atas output komputer.
Prosedur Pengendalian a.
Rutinitas pengeditan data.
b.
Penggunaan yang tepat atas label file internal dan eksternal.
c.
Rekonsiliasi atas total batch.
d.
Prosedur perbaikan kesalahan yang efektif.
Prosedur Audit: Tinjauan Sistem a.
Memeriksa dokumentasi administratif untuk memproses struktur pengendalian.
b.
Memeriksa
dokumentasi
sistem
untuk
pengeditan
data
dan
pengendalian pemrosesan lainnya. c.
Memeriksa dokumentasi pengoperasian untuk kelengkapan dan kejelasan.
10
4.
Prosedur Audit: Pengujian atas Pengendalian a.
Memverifikasi ketepatan pemrosesan transaksi-transaksi.
b.
Mencari kode yang salah atau tidak diotorisasi.
c.
Mengecek ketepatan dan kelengkapan pengendalian pemrosesan.
d.
Mengawasi sistem pemrosesan online menggunakan teknik-teknik audit bersamaan.
5.
Pengendalian Kompensasi a.
Pengendalian pengguna yang kuat dan pengendalian atas data sumber yang efektif.
3.
Analisis atas Logika Program Jika para auditor mencurigai bahwa sebuah program memuat kode yang tidak diotorisasi atau kesalahan serius, sebuah analisis mendetail atas logika program mungkin diperlukan. Auditor juga menggunakan paket-paket perangkat lunak berikut : a.
Program bagan alir otomatis, mengartikan kode sumber dan menghasilkan sebuah bagan alir program.
b.
Program tabel keputusan otomatis, mengartikan kode sumber dan menghasilkan sebuah keputusan.
c.
Rutinitas pemindaian, mencari sebuah program untuk seeluruh kejadian atas komponen-komponen tertentu.
d.
Program pemetaan, mengidentifikasi kode program yang tidak dilaksanakan.
e.
Penelusuran program, secara berurutan mencetak seluruh langkahlangkah program yang dilakukan ketika sebuah program berjalan.
Tujuan 5 : Data Sumber
Fungsi pengendalian data harus independen dari fungsi lainnya, melindungi sebuah log pengendalian data, menangani kesalahan, dan memastikan keseluruhan efisiensi dari operasi. Meskipun pengendalian data sumber mungkin tidak seringg mengalami perubahan, seberapa ketatnya
11
pengendalian data terebut diterapkan dapat berubah, be rubah, para auditor harus secara sec ara teratur mengujinya. Jika pengendalian data sumber tidak memadai, pengendalian departemen pengguna daan pengolahan data dapat menggantikannya. Jika tidak, para auditor harus merekomendasikan agar kekurangan dalam pengendalian data sumber diperbaiki. Kerangka untuk audit audit atas Pengendalian Data Sumber Sumber 1.
Jenis-jenis kesalahan dan penipuan a.
2.
3.
Data sumber yang tidak tepat atau tidak diotorisasi
Prosedur pengendalian a.
Otoritas pengguna atas input data sumber.
b.
Persiapan dan rekonsiliasi atas total pengendalian batch.
c.
Verifikasi digit cek.
d.
Verifikasi kunci.
Prosedur Audit: Tinjauan Sistem a.
Memeriksa dokumentasi administratif.
b.
Memeriksa metode otorisasi dan menguji tanda tangan otorisasi .
c.
Memeriksa dokumentasi untuk mengidentifikasi langkah-langkah pemrosesan serta isi dan pengendalian sumber data.
d.
Mendiskusikan
pengendalian
data
sumber
dengan
personel
pengendalian data. 4.
5.
Proses audit: Uji Pengendalian a.
Mengamati dan mengevaluasi departemen pengendalian data.
b.
Memverifikasi pemeliharaan yang baik.
c.
Menguji data sumber untuk otorisasi yang benar
d.
Merokonsiliasi total batch dan menindak lanjuti ketidaksesuaian
Pengendalian Kompensasi a.
Pengendalian pengguna dan pengolahan data yang kuat
12
Tujuan 6: File Data.
Pendekatan pengauditan dapat diimplementasikan menggunakan sebuah checklist prosedur bagi setiap tujuan. Checklist membantu auditor mencapai kesimpulan terpisah untuk tiap-tiap tujuan. Masing-masing dari enam checklist dilengkapi dilengkapi setiap aplikasi yang signifikan. Kerangka kerja untuk audit atas pengendalian pengendalian file data 1.
2.
3.
4.
Jenis-jenis kesalahan dan penipuan a.
Penghancuran data tersimpan.
b.
Modifikasi atau pengungkapan data tersimpan yang tidak diotorisasi.
c.
Prosedur pengendalian.
d.
Pengendalian akses login dan sebuah matriks pengendalian akses.
Prosedur Audit: Tinjauan Sistem a.
Memeriksa dokumentasi bagi operasi perpustakaan file.
b.
Memeriksa kebijakan dan akses logis.
c.
Memeriksa standar untuk perlindungan virus.
d.
Menguji rencana pemulihan bencana.
Prosedur Audit: Pengujian atas Pengendalian a.
Mengamati dan mengevaluasi operasi perpustakaan file. perpustakaan file.
b.
Memeriksa catatan atas penentuan dan modifikasi kata sandi.
c.
Mengamati persiapan dan penyimpan off-site atas file backup.
d.
Memverifikasi penggunaan efektif atas prosedur perlindungan virus.
Pengendalian Kompensasi a.
Pengendalian pengguna dan pengolahan data yang kuat.
b.
Pengendalian keamanan computer yang efektif.
D. PERANGKAT LUNAK AUDIT
Computer-assisted audit techniques (CAATs) perangkat lunak audit, disebut sebagai generalized audit software ( GAS GAS ), ), yang menggunakan spesifikasi disediakan auditor untuk menghasilkan sebuah program untuk menjalankan fungsi audit, sehingga akanmenyederhanakan proses audit. Yang
13
paling populer adalah Audit Control Language (ACL) dan interactive Data Extraction and Analysis (IDEA). General accounting Office (GAO) mencetak figure-figur dengan Internal dengan Internal Revenue Service (IRS) dan menemukan bahwa ribuan veteran berbohong tentang pendapatan mereka agar berhak memperoleh manfaat pensiun. Untuk
menggunakan
CAAATs,
para
auditor
berdasarkan tujuan audit, mempelajari tentang file diaudit,
mendesain
laporan
audit,
dan
memutuskannya
dan database database yang
menentukan
bagaimana
menghasilkannya. Beberapa manfaat CAATs: 1.
Meminta file data untuk memuat catatan memenuhi kriteria tertentu.
2.
Membuat, memperbarui, membandingkan, mengunduh data.
3.
Mengakses data dalam format yang berbeda.
4.
Pengujian atas risiko tertentu.
5.
Memformat serta mencetak laporan dan dokumen.
6.
Membuat kertas kerja elektronik.
E. AUDIT OPERASIONAL SIA
Prosedur yang digunakan dalam audit operasional serupa dengan audit atas sistem informasi dan laporan laporan keuangan. Perbedaan dasarnya adalah lingkup audit. Audit operasional meliputi seluruh aspek atas manajemen sistem. Tujuan dari audit operasional termasuk mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan. Langkah pertama dalam audit operasional adalah perencanaan audit, Langkah selanjutnya pengumpulan bukti, termasuk aktivitas berikut: 1.
Memeriksa kebijakan dan dokumentasi pengoperasian.
2.
Mengonfirmasi prosedur dengan manajemen.
3.
Mengobservasi aktivitas pengoperasian.
4.
Memeriksa rencana serta laporan finansial.
5.
Menguji ketepatan atas informasi pengoprasian.
6.
Menguji pengendalian.
14
