Audit Sistem Informasi
Pengertian Audit Sistem Informasi
Konsep Audit Teknologi Sistem Informasi
Audit teknologi sistem
informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur
teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat
berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan
kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini
dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi
informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua
kegiatan sistem informasi dalam suatu perusahaan. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
Metode dan Alat Audit Teknologi Sistem Informasi
Proses audit system informasi
dengan system manual pada dasarnya adalah sama. Yang membedakannya hanya
auditing manual tidak menggunakan computer sedangkan auditing system informasi
didalam pemrosesan transaksi menggunakan computer. Metode utama
terhadap auditing berdasarkan computer, yaitu :
1. Audit Around the Computer (Audit di
sekitar Komputer)
Audit Around the Computer
merupakan suatu pendekatan audit dimana auditor memperlakukan computer sebagai
black box, artinya pemrosesan aplikasi tidak diuji secara langsung. Metode ini
hanya berfokus pada input dan output dari system aplikasi. Metode ini
mengansumsikan jika input benar dan outpun benar, maka prosesnya dianggap benar.
Sedangkan menurut Weber Audit
Around the Computer merupakan audit terhadap suatu penyelenggaraan system
informasi yang berbasis computer tanpa menggunakan kemampuan peralatan itu
sendiri.
Biasanya Audit Around the
Computer dilakukan oleh auditor yang memiliki pengetahuan yang minim tentang
computer. Metode Audit Around the Computer ini cocok untuk dilaksanakan pada
kondisi sebagai berikut :
- Dokumen sumber tersedia dalam bentuk
kertas (bahasa non mesin), artinya mash kasat mata dan dapat dilihat
secara visual.
- Dokumen-dokumen disimpan dalam file dengan
cara yang mudah ditemukan.
- Keluaran dapat diperoleh dari daftar yang
terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber
kepada keluaran dan sebaliknya.
- System computer yang diterapkan masih
sederhana.
- System computer yang diterapkan masih
menggunakan software yang umum digunakan, telah diakui dan digunakan
secara massal.
Dalam pendekatan audit
disekitar komputer, auditor dapat melangkah kepada perumusan pendapat dengan
hanya menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan
prosedur verifikasi saldo perkiraan dengan cara yang sama seperti dalam sistem
manual bukan sistem informasi berbasis komputer. Auditor tidak melakukan upaya
untuk menguji pengendalian sistem informasi berbasis komputer klien, tetapi
terhadap input serta output sistem aplikasi. Dari penilaian terhadap kualitas
input dan output sistem aplikasi ini , auditor dapat mengambil kesimpulan
tentang kualitas pemrosesan data yang dilakukan klien. Oleh karena itu auditor
harus dapat mengakses ke dokumen sumber yang cukup dan daftar keluaran (output)
yang terinci dalam bentuk yang dapat dibaca. Kuncinya adalah penelusuran
transaksi terpilih mulai dari dokumen sumber sampai ke perkiraan dan laporan
keuangan. Untuk menerapkan metode ini, pertama auditor meninjau dan menguji
pengendalian masukan (input control), kemudian menghitung hasil yang diharapkan
dari pemrosesan transaksi yang terpilih lalu auditor membandingkan hasil sesungguhnya
seperti yang tampak dalam laporan ikhtisar saldo perkiraan, dengan hasil yang
dihitung secara manual.
Kelebihan dan kelemahan Audit
Around the Computer adalah sebagai berikut :
Kelebihan :
- Cara paling efektif dengan pendekatan
biaya. Karena biaya yang terkait dalam pelaksanaannya kecil.
- Pelaksanaan audit lebih sederhana, lebih
mudah dan dimengerti oleh semua orang.
- Auditor yang memiliki pengetahuan minimal
di bidang computer dapat dilatih dengan mudah untuk melaksanakan audit.
- Tidak ada resiko terhadap kemungkinan
hancurnya data sesungguhnya.
Kelemahan :
- Jenis aplikasi computer yang digunakan
dengan baik sangat terbatas.
- Pendekatan ini tidak memberikan informasi
tentang kemampuan system untuk mengatasi perubahan.
- Jika lingkungan berubah maka kemungkinan
system itupun akan berubah dan perlu penyesuaian system atau
program-programnya, bahkan mungkin struktur data/file, sehigga auditor
tidak dapat menilai /menelaah apakah system masih berjalan baik.
- Database biasanya dalam jumlah data yang
banyak dan sulit untuk dilacak secara manual.
- Auditor tidak akan memahami operasional
didalam system computer.
- Adanya pengabaian pada system pengolahan
computer sehingga rawan adanya kesalahan potensial di dalam system.
- Kemampuan computer sebagai fasilitas
penunjang pelaksanaan audit menjadi tidak ada.
- Tidak menyelesaikan maksud dan tujuan proses audit secara keseluruhan.
2. Audit Through The Computer.
Metode Audit Through The
Computer merupakan suatu pendekatan yang berorientasi pada computer dengan
membuka black box dan secara langsung berfokus pada operasi pemprosesan dalam
system computer. Metode ini berasumsi bahwa apabila system pemrosesan mempunyai
pengendalian yang memadai maka kesalahan dan penyalagunaan tidak akan terlewat
untuk dideteksi. Sebagai akibatnya keluaran dapat diterima.
Sedangkan menurut Weber, pada
umumnya para auditor sekarang terlibat dalam Audit Through The Computer.
Auditor menggunakan komputer untuk menguji logic dan pengendalian yang ada
dalam komputer dan catatan yang dihasilkan oleh komputer. Besar kecilnya
penggunaan (peranan) komputer dalam audit tergantung pada kompleksitas dari
sistem komputer perusahaan yang diaudit. Penggunaannya dapat sederhana atau
lebih rumit. Selain itu auditor juga dapat meminta penjelasan dari para teknisi
computer mengenai spesifikasi system dan atau program yang diperiksanya. Dalam
pendekatan ini fokus perhatian auditor langsung pada operasi pemrosesan di
dalam sistem komputer.
Tujuan dari Audit Through The
Computer adalah untuk meneliti apakah aplikasi yang dioperasikan sesuai dengan
kondisi yang sesungguhnya. Selain itu Audit Through The Computer dapat juga
dilakukan untuk meneliti kelengkapan dan kebenaran akurasi dan validasi
database atau penelitian software datanya.
Metode Audit Through The
Computer harus digunakan apabila metode Audit Around The Computer tidak cocok
atau tidak mencukupi. Jadi metode Audit Through The Computer ini harus diterapkan
bila pemrosesan computer rumit dan melibatkan banyak file. Metode Audit Through
The Computer ini dapat diterapkan bersama dengan metode Audit Around The
Computer untuk memberikan kepastian yang lebih besar.
Metode Audit Through The
Computer cocok dalam kondisi :
- Sistem aplikasi memroses input yang cukup
besar dan menghasilkan output yang cukup besar pula, sehingga memperluas
audit untuk meneliti keabsahannya.
- Bagian penting dari struktur
pengendalian intern perusahaan terdapat di dalam komputer yang digunakan.
- Sistem logika komputer sangat kompleks dan
memiliki banyak fasilitas pendukung
- Adanya jurang yang besar dalam
melaksanakan audit secara visual, sehingga memerlukan pertimbangan antara
biaya dan manfaatnya.
Kelebihan dan kelemahan Audit
Through The Computer adalah sebagai berikut:
Kelebihan :
- Dapat meningkatkan kekuatan pengujian
system aplikasi secara efektif.
- Dapat memeriksa secara langsung logika
pemrosesan dari system aplikasi.
- Kemampuan system dapat menangani perubahan
dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.
- Auditor memperoleh kemampuan yang besar
dan efektif dalam melakukan pengujian terhadap system computer.
- Auditor merasa lebih yakin terhadap
kebenaran hasil kerjanya.
Kelemahan :
- Biaya yang dibutuhkan relative tinggi
karena jumlah jam kerja yang banyak untuk dapat lebih memahami struktur
pengendalian intern dari pelaksanaan system aplikasi.
- Butuh keahlian teknis yang lebih mendalam
untuk memahami cara kerja system.
Regulasi Audit Teknologi Sitem Informasi
Regulasi dapat dilakukan dengan berbagai bentuk, misalnya: pembatasan hukum diumumkan oleh otoritas pemerintah, regulasi pengaturan diri oleh suatu industri seperti melalui asosiasi perdagangan, Regulasi sosial (misalnya norma), co-regulasi dan pasar. Indonesia belum memiliki Undang-Undang khusus atau cyber law yang mengatur mengenai cybercrime walaupun rancangan undang-undang tersebut sudah ada sejak tahun 2000 dan revisi terakhir dari rancangan undang-undang tindak pidana di bidang teknologi informasi sejak tahun 2004 sudah dikirimkan ke Sekretariat Negara RI oleh Departemen Komunikasi dan Informasi serta dikirimkan ke DPR namun dikembalikan kembali ke Departemen Komunikasi dan Informasi untuk diperbaiki.
Proses atau tahapan audit TSI
a. Perencanaan (Planning)
Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managemen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.
Perencanaan meliputi beberapa aktivitas utama, yaitu:
Ø Penetapan ruang lingkup dan tujuan audit
Ø Pengorganisasian tim audit
Ø Pemahaman mengenai operasi bisnis klien
Ø Kaji ulang hasil audit sebelumnya
Ø Penyiapan program audit
b. Pemeriksaan Lapangan (Field Work)
Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.
c. Pelaporan (Reporting)
Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan. Hal tersebut bertujuan untuk mengetahui kesenjangan serta mengetahui apa yang menyebabkan adanya kesenjangan tersebut.
d. Tindak Lanjut (Follow Up)
Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.
c.Inspeksi
h.Rekonsiliasi
Teknik Audit TSI
1. Teknik-teknik audit yang dapat digunakan untuk pengujian fisik adalah :
a.Observasi/pengamatan
Peninjauan dan pengamatan atas suatu objek secara hati-hati, ilmiah, dan berkesinambungan selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah.
b.Inventarisasi/opname
Pemeriksaan fisik dengan menghitung fisik barang, menilai kondisinya dan membandingkan dengan saldo menurut buku, kemudian mencari sebab-sebab terjadinya perbedaan apabila ada. hasil opname biasanya dituangkan dalam suatu berita acara.
c.Inspeksi
Meneliti secara langsung ketempat kejadian, yang lazim pula disebut on the spot inspection, yang dilakukan secara rinci dan teliti.
2. Teknik audit yang digunakan untuk mengumpulkan bukti dokumen adalah :
a.Verifikasi
Pengujian secara rinci dan teliti tentang kebenaran, ketelitian perhitungan, kesahihan, pembukuan, kepemilikan, dan eksistensi suatu dokumen
b.Cek
Menguji kebenaran atau keberadaan sesuatu dengan teliti.
Menguji kebenaran atau keberadaan sesuatu dengan teliti.
c.Uji atau Test
Uji atau test adalah penelitian secara mendalam terhadap hal-hal secara esensial atau penting.
d.Footing
Menguji kebenaran penjumlahan subtotal dan total dari atas ke bawah. Footing dilakukan terhadap data yang disediakan audit, tujuan teknik footing adalah untuk menentukan apakah data atau laporan yang disediakan audit dapat dibenarkan ketepatan perhitungannya.
e.Vouching
Menelusuri suatu informasi atau data dalam suatu dokumen dari pencatatan menuju kepada adanya bukti pendukung atau menelusuri mengikuti prosedur yang berlaku dari hasil menuju awal kegiatan.
f.Telusur
Teknik audit dengan menelusuri suatu bukti transaksi atau kejadian menuju ke penyajian dalam suatu dokumen.
g.Scanning
Penelaahan secara umum dan dilakukan dengan cepat tetapi teliti, untuk menemukan hal-hal yang tidak lazim atas suatu informasi.
h.Rekonsiliasi
Mencocokan dua data yang terpisah, mengenai hal yang sama dikerjakan oleh bagian yang berbeda.
3. Teknik-teknik audit yang dapat digunakan untuk mengumpulkan bukti analisis adalah
· Analisis memecah atau mengurai data informasi ke dalam unsur-unsur yang lebih kecil atau bagian-bagian, sehingga dapat diketahui pola hubungan antar unsur atau unsur penting tersembunyi. Teknik ini sering disebut bencmarking membandingkan dengan unit lain yang sejenis.
· Evaluasi merupakan cara memperoleh suatu kesimpulan dengan mencari pola hubungan atau dengan menghubungkan atau merakit berbagai informasi yang telah diperoleh baik bukti intern maupun ekstern.
· Investigasi adalah suatu upaya untuk mengupas secara intensif suatu permasalahan melalui penjabaran, penguraian, atau penelitian secara mendalam. tujuan yaitu memastikan apakah indikasi yang diperoleh dari teknik audit yang lainnya dilakukanmemang benar terjadi.
· Pembandingan yaitu membandingkan data dari satu unit kerja dengan unit kerja lain, atas hal sama dan periode yang sama atau hal yang sama dengan periode yang berbeda kemudian ditarik kesimpulan.
4. Teknik audit untuk mengumpulkan bukti keterangan adalah :
· Konfirmasi : adalah memperoleh bukti sebagai kepastian bagi auditor, dengan cara mendapatkan mendapatkan informasi yang sah dari pihak luar audit. konfirmasi terdapat konfirmasi positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar dan konfirmasi negatif merupakan konfirmasi yang meminta jawaban tertulis bila data yang dikonfirmasi berbeda.
· Permintaan informasi : Permintaan informasi yang dilakukan dengan tujuan menggali informasi tertentu berbagai pihak yang berkompeten. hal-hal yang perlu diperhatikan yaitu sumber informasi.
Standar dan kerangka kerja
Standard Audit Sistem Informasi Menurut ISACA (Information System Audit And Control Association) :
· S1 Audit Charter
Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.
· S2 Independence
Ø Professional Independence
Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan.
Ø Organisational Independence
Fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan.
· S3 Professional Ethics and Standards
Ø Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.
Ø Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.
· S4 Professional Competence
Ø Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
Ø Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.
· S5 Planning
Ø Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
Ø Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.
· S6 Performance of Audit Work
Ø Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
Ø Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.
Ø Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.
· S7 Reporting
Ø Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.
Ø Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
Ø Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.
Ø Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.
Manajemen Resiko
Manajemen risiko adalah suatupendekatan terstruktur/ dalammengelola ketidakpastian yang berkaitan dengan ancaman suatu rangkaian aktivitas manusia termasuk : , pengembangan strategi untuk mengelolanya dan risiko dengan menggunakan pemberdayaan atau pengelolaan sumber daya. Strategi yang dapat diambil antara lain adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek negatif risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu. Manajemen risiko tradisional terfokus pada resiko-resiko yang timbul oleh penyebab fisik atau legal (seperti kebakaran, kematian, serta tuntutan hukum).
Cara Melakukan Manajemen Risiko dengan Efektif
Kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu:
Ø Lingkungan internal (internal environment)
Ø Penentuan sasaran (objective setting)
Ø Identifikasi peristiwa (event identification)
Ø Penilaian risiko (risk assessment)
Ø Tanggapan risiko (risk response)
Ø Aktivitas pengendalian (control activities)
Ø Informasi dan komunikasi (information and communication)
Ø Pemantauan (monitoring)
Tidak ada komentar:
Posting Komentar