Audit SI

2. Audit Sistem Informasi
(Drs. Sanyoto Gondodiyoto SE., Mkom., Mcomm.(IS).,MM(SI).,PIA.,Akuntan - hal 371)

3.  Adalah kontrol internal yang berlaku khusus
untuk aplikasi komputer tertentu.
 Sering disebut juga sebagai pengendalian
perspektif teknis/ pengendalian.
 Terdiri dari:
 Input control, process control, output control
 Tambahan dari beberapa text book
▪ Database control, communication control, dan
boundary control (Weber)

4.  Berlaku untuk aplikasi tertentu.
 Sesuai pertimbangan teknis analisis dan desain
aplikasinya.
 Pengendalian aplikasi didesain oleh masing-
masing sistem aplikasi komputer

5. Kategori Pengendalian Jenis-Jenis Pengendalian
Boundary Control Otoritas Akses ke SistemAplikasi
Identitas dan otentisitas pengguna
Input Control Otorisasi dan validasi masukan
Transmisi dan konversi data
Penanganan kesalahan
Process control Pemeliharaan ketepatan data
Pengujian atas batasan dan memadainya
pengolahan
Output Control Penelaahan dan pengujian hasil
pengolahan
Distribusi keluaran

6. Kategori Pengendalian Jenis-Jenis Pengendalian
Database Control Akses
Integritas Data
Communication Control Pengendalian unjuk kerja
Gangguan Komunikasi

7.  Pengendalian Preventif
 Untuk mencegah terjadinya resiko
 Pengendalian detektif
 Untuk menemukan kesalahan (terjadinya resiko)
 Pengendalian Korektif
 Jika terjadi resiko

8. Boundary Control

9.  Adalah interface antara para pengguna
dengan sistem
 Yang perlu diperhatikan
 Ruang lingkup:apa dokumen inputnya, sumber,
tujuan pengolahan, pengguna, pemegang
kewenangan.
▪ User harus memiliki otoritas, identitas dan otentik
 Subsistem dan keterkaitan
▪ Ada penjelasan antar sub sistem yang terkait.

10.  Untuk mengenal identitas dan
otentik/tidaknya user.
 Untuk menjaga sumber daya sistem
informasi.

11.  Cryptographic Control
 Dibuat untuk menjaga privacy
 Access Control
 AuditTrail
 Log File
 Existence Controls
 Contoh : jika seorang pengguna gagal melakukan
transaksi pada ATM maka sistem perlu
memproteksi kartu pengguna dari pihak lain.

12. Pengendalian Input

13.  Input adalah salah satu tahap yang krusial.
 Kesalahan yang tidak disengaja.
 Kesalahan yang disengaja
▪ Mencoba untuk masuk dengan menggunakan user
name pihak lain
 Pengendalian ini ditujukan guna mendapat
keyakinan bahwa data transaksi input valid,
lengkap, bebas dari kesalahan dan penyalah
gunaan.

14.  Resiko:
 Entry point, masuknya data terdapat pada sistem
komputer yang tersebar
 Hubungan on line membuat konektivitas menjadi
kompleks
 Kebutuhan bukti audit yang bersifat fisik sulit
didapat.

15.  Prevention Objective
 Detection Objective
 Correction Objective

16.  Adanya panduan kerja bagi para operator
 Tampilan antar muka dibuat user friendly
 Dialog aplikasi harus membantu pemakai

17.  NumericTest
 LimitTest

18.  Echo Check
 User dapat melihat data yang dientry dan dapat
membuat koreksi jika ada kesalahan
 Existence Check
 Apakah data input sesuai dengan kriteria yang
diminta. Jika kode hanya bolehT/K maka hanya
dua inputan tersebut yang boleh dimasukkan
 MatchingCheck
 Membandingkan dengan table look up

19.  Field Check
 Pengecekan tipe field (numeric, alphabetic, atau
date)
 Logical Check
 Jika seorang karyawan mempunyai anak, maka
statusnya harus telah menikah
 Limit/ReasonableCheck
 Gaji seorang karyawan = Rp. 50 tidak masuk akal

20.  Range Check
 Hari dalam satu minggu.
 Umur seorang user
 Self Checking Digit Check
 Kelebihan digit
 Digit terpotong
 Kesalahan penulisan digit

21.  Sequence Check
 Data penerimaan kas harus dimasukkan secara
berurutan

22.  Auditor perlu meneliti apakah entri data
sudah dilengkapi dengan:
 Program specification yang memadai
 Dokumentasi testing
 Mewawancarai programmer
 Melakukan pengujian
 Review Source Code

23. Pengendalian Proses

24.  Menjaga agar tidak terjadi kesalahan karena
adanya kesalahan proses.
 Salah logika
 Salah rumus
 Salah urutan program
 Programmer salah menterjemahkan sistem
 Program dibuat dengan tidak mengikuti Standar
 Program tidak dibuat sesuai dengan keinginan
user

25.  Bentuk pengendalian yang diterapkan
setelah data berada pada sistem.
 Memberi keyakinan:
 Transaksi diolah secara sesuai
 Transaksi tidak hilang, ditambah, digandakan
atau diubah dengan tidak semestinya
 Kekeliruan pengolahan data dapat diidentifikasi

26.  Kesalahan yang dapat terjadi:
 Overflow
 Kesalahan logika pemrograman
 Kesalahan proses urutan data
 Kesalahan data pada file acuan (tabel master)

27.  Dokumentasi sistem aplikasi
 Meminta penjelasan pada teknisi sistem
informasi,
 Memeriksa manfaat,
 Memeriksa mekanis me copy error dari
pengguna
 Memeriksa error log

28. PengendalianOutput

29.  Dilakukan untuk menjaga output sistem agar
akurat, lengkap, dan digunakan sebagaimana
mestinya
 Resiko : tidak akurat , tidak lengkap,
terlambat atau data tidak diupdate, item data
tidak relevan, bias, dibaca oleh pihak yang
tidak berhak

30.  Tabel: jenis laporan, periode laporan,
pengguna laporan, tanda terima laporan,
prosedur permintaan laporan.

31.  Cek antara program pelaporan, akurasi
laporan, judul, kolom,

32.  Prosedur klaim ketidakpuasan

33.  Output handling procedures
 Distribution check list
 Distribution schedule
 Distribution log
 Report release form

34.  Control group procedures
 Adanya fase pengecekan dalam distribusi laporan
 User procedures

35.  Error Correction
 Prosedur koreksi terhadap laporan yang salah

36.  Rekonsiliasi keluaran dengan masukan dan
pengolahan
 Komparisi dokumen laporan dengan dokumen asli
 Penelaahan dan pengujian hasil hasil
pengolahan
 Pendistribusian keluaran
 Kepada pihak yang berhak, tepat waktu, dan
hanya keluaran yang dibutuhkan saja.

37.  Jenis-Jenis Laporan:
 Untuk kebutuhan Strategic planning
 Untuk kebutuhan Manajemen operasional
 Untuk kebutuhan Laporan kegiatan operasi
harian
 Untuk monitor kegiatan
 Untuk menyimpan data kegiatan (log and data
error)

38. Dilihat dari segi Contoh
1. Tujuan(purpose) Laporan perencanaan
Laporan Pengendalian
Laporan Operasional
Laporan Pajak Penghasilan
Laporan Pemegang Saham
2. Jangka Waktu (Time Horizon) Laporan Jangka Panjang
Laporan Jangka Pendek
Laporan Data Historis
3. Cakupan (Scope) Laporan Perusahaan Keseluruhan
Laporan Divisi
Laporan Departemen
4. Kemunculan (occurrence) Laporan atas permintaan
Laporan Periodik
Laporan Akibat Suatu Kejadian
Laporan Ad Hoc

39. Dilihat dari segi Contoh
5. Kecepatan (conciseness) Laporan Singkat
LaporanTerinci
6. Fungsi Organisasi Laporan Produksi
Laporan Penjualan
Lporan Keuangan
Laporan Persediaan
7. Format Laporan Monitor
Grafik Berwarna
Narasi

40.  Adanya pencantuman kode pada laporan
 Judul Laporan Mencerminkan isinya
 Data yang ditampilkan benar (mis:
penjumlahan record)
 Adanya halaman, jumlah halaman,
penanggung jawab/pemilik otoritas, tanggal
pencetakan, tanggal pengolahan, dan unit
yang mengelola
 Adanya kebijakan dalam hal retensi laporan.

41.  Tahapan:
 Tahap penyediaan media laporan
▪ Adanya tempat penyimpanan kertas laporan, ada
pengendalian akses pada tempat penyimpanan, harus
ada nomor cetak, dan ada tempat penyimpanan untuk
stempel perusahaan
 Tahap pemrosesan program laporan
 Pencetakan

42.  Pengumpulan laporan
 Pencetakan laporan
▪ Jumlah pencetakan sesuai dengan yang dibutuhkan,
 Pengkajian Ulang laporan
 Pendistribusian
▪ Ada tanggal laporan, ada daftar distribusi, ada daftar
penerimaan
 Pengarsipan
 Pemusnahan Laporan

43. Pengendalian Database

44.  Akses database yang spesifik pada file aplikasi
 Adanya security policy untuk operasi file database
 Concurrency control
 Perlu pengetesan, untuk mengetahui apakah integritas
data tidak terganggu.
 Integrity Control
 Diterapkannya integrity constraint pada database
 Application Software Control
 Adanya kontrol yang diterapkan pada level aplikasi
 File Handling Control
 Existence Control

45. Pengendalian Komunikasi

46.  Component failure
 Ancaman Hacker
 Line error

48.  Lakukan pengecekan apakah sistem aplikasi
dilengkapi dengan login akses
 Dapatkan informasi mengenai batasan
kewenangan yang dimiliki oleh user dalam
mengakses aplikasi

49.  Lakukan pengecekan apakah sistem
mengeluarkan konfirmasi ketika data akan
disimpan
 Dapatkan informasi tentang fasilitas
penanganan kesalahan

50.  Lakukan pengujian apakah data dapat
dihapus secara ilegal
 Lakukan pengujian apakah sistem dapat
mendeteksi validitas inputan

51.  Dapatkan informasi mengenai prosedur
permintaan laporan
 Dapatkan informasi mengenai distribusi
laporan

52.  Dapatkan informasi mengenai database
administrator di perusahaan tersebut
 Lakukan pengecekan apakah terdapat
integrity constraint pada database

53.  Dapatkan informasi mengenai topologi
jaringan pada sebuah perusahaan

54. Berikan 10 pertanyaan/tindakan jika kita akan mengumpulkan informasi
guna kebutuhan audit Aplikasi pada masing-masing pengendalian.
Contoh-Contoh pertanyaan/tindakan dapat dilihat pada slide 48 - 53