AUDIT TEKNOLOGI SISTEM INFORMASI
I.
PENDAHULUAN
Audit
teknologi informasi (Inggris: information technology (IT) audit atau
information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari
infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi
ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah
ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
Ada
beberapa pendekatan yang dapat dipilih oleh seorang auditor apabila menggunakan
teknik audit berbantuan komputer, yaitu melakukan pengujian aplikasi atau
melakukan pengujian substantif.
Beberapa
pendekatan yang dapat dilakukan apabila auditor tersebut memilih melakukan
pengujian aplikasi adalah:
1. TestData
Metode ini menggunakan
data masukan yang telah dipersiapkan auditor dan menguji data tersebut dengan
salinan (copy) dari perangkat lunak aplikasi auditan. Hasil pemrosesan data
tersebut akan dibandingkan dengan ekspektasi auditor. Jika ada hasil yang tidak
sesuai, mungkin ini suatu indikasi penyimpangan logika atau mekanisme
pengendalian.
2. Integrated
Test Facility (ITF)
Adalah suatu pendekatan
teknik terotomatisasi yang memungkinkan auditor menguji alur logika dan kendali
suatu aplikasi pada saat operasi normal berlangsung.
3. Parallel
Simulation (PS)
Pendekatan ini
mengharuskan auditor untuk membuat suatu program yang menyimulasikan fungsi
utama tertentu dari aplikasi yang sedang diuji.
Sedangkan
untuk melakukan pengujian substantif (misalnya detail transaksi atau saldo
perkiraan), maka auditor dapat memilih teknik:
1. Embadded
Audit Module(EAM)
Merupakan suatu teknik
dimana satu atau lebih modul program tertentu dilekatkan di suatu aplikasi
untuk mencatat secara tersendiri serangkaian transaksi yang telah ditentukan ke
dalam file yang akan dibaca oleh auditor
2. Generalized
Audit Software (GAS)
Adalah pendekatan yang
menggunakan suatu perangkat lunak tertentu yang dimanfaatkan untuk menyeleksi,
mengakses, mengorganisasikan data untuk kepentingan pengujian substantif.
Pendekatan ini memungkinkan auditor untuk mengakses dan mengambil berbagai file
data ke dalam computer untuk kemudian melakukan berbagai pengujian yang
diperlukan. Pendekatan ini merupakan teknik yang paling populer karena relatif
lebih mudah karena tidak diperlukan kemampuan teknik komputasi yang cukup
mendalam.
II.
TUJUAN
Tujuan Audit Sistem
Informasi menurut Ron Weber yaitu:
a) Meningkatkan
keamanan aset-aset perusahaan.
b) Meningkatkan
data dan menjaga integritasi data.
c) Meningkatkan
efektifitas sistem
d) Meningkatkan
efisiensi sistem
e) Ekonomis
Dua aspek utama tujuan
audit sistem informasi yaitu:
a) Conformance
(Kesesuaian)
Yaitu audit sistem
informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian seperti
kerahasiaan, Integritas, Ketersediaan, Kepatuhan.
b) Performance
(Kinerja)
Yaitu audit sistem
informasi difokuskan untuk memperoleh kesimpulan atas aspek kenerja seperti
Efektifitas, Efisiensi, Kehandalan.
Tujuan audit sistem
informasi secara teknis yaitu:
a) Evaluasi
atas kesesuaian antara rencana strategis dengan rencana tahunan
organisasi,rencana tahunan dan rencana proyek.
b) Evaluasi
atas kelayakan struktur organisasi yaitu termasuk pemisahan fungsi dan
kelayakan pelimpahan wewennang dan otoritas.
c) Evaluasi
atas pengelolahan personil yaitu termasuk perencanaan kebutuhan, rekrutmen dan
seleksi, pelatihan dan pendidikan, promosi,mutasi, serta terminasi personil.
d) Evaluasi
atas pengembangan yaitu termasuk analisis kebutuhan, perancangan, pengembangan,
pengujian, implementasi, migrasi, pelatihan dan dokumentasi, serta manajemen
perubahan.
e) Evaluasi
atas kegiatan operasional yaitu termasuk pengelolaan keamanan dan kenerja
pengelolaan pusat data, pengelolaan keamanan dan kenerja jaringan data,
pengelolaan masalah dan insiden serta dukungan pengguna.
f) Evaluasi
atas kontinuitas layanan yaitu termasuk pengelolaan backup dan recovery,
pengelolaan prosedure darurat, pengelolaan rencana pemulihan layanan, serta
pengujian rencana kontijensi operasional.
g) Evaluasi
atas kualitas pengendalian aplikasi yaitu termasuk pengendalian input,
pengendalian proses dan pengendalian output.
h) Evaluasi
atas kualitas data/informasi yaitu termasuk
pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses,
dan dihasilkan oleh sistem informasi.
III.
PROSES
Proses Audit dalam
konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan
semestinya. Tujuh langkah proses audit sistem informasi yaitu:
a) Implementasikan
sebuah strategi audit berbasis manajemen resiko serta control practice yang
dapat disepakati oleh semua pihak
b) Tetapkan
langkah-langkah audit yang rinci
c) Gunakan
fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
d) Buat
laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
e) Telaah
apakah tujuan audit tercapai
f) Sampaikan
laporan kepada pihak yang berkepentingan
g) Pastikan
bahwa organisasi mengimplementasikan managemen resiko serta control practice.
Perencanaan sebelum
menjalankan proses audit dengan metodologi audit yaitu:
a) Audit
subject
b) Audit
objective
c) Audit
Scope
d) Preaudit
planning
e) Audit
procedures and Steps for data gathering
f) Evaluasi
hasil pengujian dan pemeriksaan
g) Audit
report preparation
Berikut struktur isi
laporan audit secara umumnya(tidak baku):
a) Pendahuluan
b) Kesimpulan
umum auditor
c) Hasil
audit
d) Rekomendasi
e) Exit
interview
A.
Audit
Sistem Informasi Berbasis Resiko
Proses dalam pelaksanaan
audit sistem informasi berbasis resiko sesuai standar audit yaitu:
a) Tahap
survey pendahuluan,auditor akan berusaha untuk memperolehgambaran umum dari
lingkunganyang akan diaudit.
b) Pemahaman
yang lebih mendalam dari seluruh sumber daya yang termasuk di dalam lingkup
audit.
c) Pemahaman
sistem pengendalian intern seperti struktus organisasi, kebijakan, prosedur,
standar, dan alat bantu kendali lainya.
d) Mengidentifikasi
berbagai resiko yang mungkin timbul di lingkungan audit serta kelayakan
rancangan pengendalian intern yang telah ada.
e) Melakukan
pengujian dan pelaksanaan kendali-kendali, jika tidak layak maka auditor akan
melakukan pengujian terinci secara mendalam terhadap resiko.
f) Menyusun
laporan audit yang memuat kesimpulan audit, serta tanggapan dari pihak yang
diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan
pengendalian intern.
Aspek-aspek
penilaian resiko dalam proses audit sistem informasi berbasis resiko yaitu:
a) Tujuan
Yaitu biasanya tercermin
dalam misi atau nilai entitas/terdapat dalam rencana perusahaan. Kategori
tujuan yaitu:
1. Tujuan
operasi
2. Tujuan
pelaporan keuangan
3. Tujuan
kepatuhan
b) Identifikasi
dan analisa resiko
Yaitu mencakup resiko
dalam pencapaian tujuan seperti:
1. Resiko
tingkat entitas
2. Resiko
tingkat aktifitas
3. Manajemen
perubahan
B.
Audit
Sistem Informasi Berbasis Kendali
Proses dalam pelaksanaan
audit sistem informasi berbasis kendali sesuai standar audit yaitu:
a) Mengumpulkan
bukti-bukti yang memadai melalui berbagai teknik seperti survei, interview,
observasi, review.
b) Jika
bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka auditor
menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer
Aided Auditing Technique) yang bertujuan untuk menganalisa data seperti
penjualan, pembelian, transaksi, dan lain-lain)
c) Sesuai
standar auditing ISACA (information System Audit And Control
Association)Auditor juga harus menyusun laporan yang mencakup tujuan
pemeriksaansifat dan kedalaman pemeriksaan.
d) Laporan
juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang
dituju, dan batasan-batasan distrubusi laporan.
e) Laporan
juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana layaknya
laporan audit.
Audit
sistem informasi berbasis kendali merupakan
suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang
tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung),
innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai),
redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk
mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.
Berdasarkan
standar manajemen yang dikeluarkan oleh
Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi
sistem mutu mempunyai 4 skala yaitu:
a) P
(Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau
ulang keseluruhan proses.
b) W
(Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai
standar.
c) F
(Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang
belum sesuai bahkan tidak ada sama sekali.
d) S
(Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi
oleh sistem.
C.
Audit
Sistem Informasi Berbasis Komputer
Dengan dominannya penggunaan komputer dalam membantu kegiatan
operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol
sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang
diproses adalah benar. Beberapa jenis standar kontrol yaitu:
a) COSO
(Comitte Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun
1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan
dengan isu-isu seputar pelaporan keuangan yang mengandung fraud
(penggelapan).Tahun 1992, COSO menyusun dan Menerbitkan Internal Control
Integrated Framework yang berisi rumusan definisi pengendalian intern, pedoman
penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun 2004, COSO
mengembangkan Internal Control Integrated Framework dengan menambah cakupan
tentang manajemen dan strategi resiko
yang disebut ERM (Enterprise Risk Manajement).
Pencapaian tujuan
pengendalian intern yang didefenisikan COSO:
1. Efektifitas
dan efisiensi aktivitas operasi
2. Kehandalan
pelaporan keuangan
3. Ketaatan
terhadap hukum dan peraturan yang berlaku
4. Pengamanan
aset entitas.
b) COBIT
(Control Objectives for Information and Related Technology)
Yaitu alat pengendalian
untuk informasi dan tekhnology terkait dan merupakan standar terbuka yang
dikembangkan oleh ISACA melalui ITGI (Information and Technology Governance
Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan ,
melakukan riset dan mempublikasikan suatu standar teknologi informasi yang
diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis
sehari-hari.
c) SARBOX
(Sarbanes-Oxley Act)
Yaitu merupakan peraturan
yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk
mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:
1. Meningkatkan
akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara
memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab
mereka.
2. Meningkatkan
pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan
transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak
disyaratkan untuk diungkap di publik.
3. Meningkatkan
pengawasan rutin yang lebih intensif oleh SEC.
4. Meningkatkan
akuntabilitas akuntan.
d) ISO
17799
Yaitu standar untuk
sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan
informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para
pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan
suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali,
mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian
perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti
kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan
keamanan.
e) BASEL
II
BASEL II dibentuk yaitu
sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini
mensyaratkan Bank-bank untuk memisahkan
eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe
debitur(hutang).
DAFTAR PUSTAKA:
