Audit Sistem
Informasi
Audit
Sistem Informasi adalah
sebuah proses yang sistematis dalam mengumpulkan dan mengevaluasi bukti-bukti
untuk menentukan bahwa sebuah sistem informasi berbasis komputer yang digunakan
oleh organisasi telah dapat mencapai tujuannya.
Tujuan itu antara lain adalah:
1. Pengamanan atas aktiva
Dukungan sistem informasi berbasis
komputer dalam pengamanan aktiva yang terdapat di bagian atau fungsi pengolahan
data elektronik, yang meliputi: hardware, software, personel, file data dan
pendukung sistem informasi. Hardware dapat saja rusak, data dapat hilang dan
masih banyak kemingkinan yang terjadi. Seperti halnya aktiva lain, sistem
informasi juga harus didukung oleh suatu sistem pengendalian internal yang
memadai. Dukungan sistem informasi berbasis komputer dalam pengamanan aktiva
juga tidak terbatas hanya pada assets bagian PDE saja, tetapi meliputi juga
bagian-bagian lain dalam organisasi.
2. Pemeliharaan atas integritas
data.
Integritas data (data integrity) di
dalam sebuah sistem informasi berbasis komputer mempunyai pengertian bahwa data
yang diolah dalam suatu sistem informasi berbasis komputer haruslah data yang
memenuhi syarat:
- lengkap (completeness)
- mencerminkan suatu fakta yang sebenarnya (soundness)
- asli, belum diubah (purity)
- dapat dibuktikan kebenarannya (veracity)
3. Peningkatan Efektivitas
Penggunaan
sistem informasi berbasis komputer harus dapat meningkatkan efektifitas dalam
pencapaian tujuan organisasi. Hal ini berarti adanya evaluasi sistem informasi
dan kebutuhan pemakai terhadap sistem informasi.
Penggunaan
sistem informasi berbasis komputer harus dapat meningkatkan efisiensi
penggunaan sumber daya yang dibutuhkan dalam upaya mendukung efisiensi operasi
organisasi. Hal ini berarti adalah sebuah sistem informasi yang efisien yaitu
dengan penggunaan sumberdaya seminimal mungkin untuk mencapai tujuan
organisasi.
Tujuan
audit SIA adalah untuk meninjau dan mengevaluasi pengendalian internal yang
melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para
auditor harus memastikan tujuan-tujuan berikut ini dipenuhi :
1. Perlengkapan keamanan melindungi
perlengkapan komputer, program, komunikasi, dan data dari akses yang
tidak sah, modifikasi, atau penghancuran.
2. Pengembangan dan perolehan program
dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
3. Modifikasi program dilaksanakan
dengan otorisasi dan persetujuan pihak manajemen.
4. Pemrosesan transaksi, file, laporan, dan
catatan komputer lainnya telah akurat dan lengkap.
5. Data sumber yang tidak akurat atau yang tidak
memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan
kebijakan manajerial yang telah ditetapkan.
6. File data komputer telah akurat,
lengkap, dan dijaga kerahasiaannya.
Munculnya berbagai jenis komputer
kecil PC yang menggantikan jenis komputer mainframe dan harga komputer komputer
yang relatif terjangkau dengan kemampuan teknologi yang memadai (bahkan lebih
handal) telah membantu perusahaan dalam menjalankan aktivitas operasi
bisnisnya. Saat ini komputer telah hampir ada di setiap kantor dan menjadi sebuah
peralatan penting.
Semenjak komputer menjadi alat utama
dalam pemrosesan data dan penyediaan informasi untuk berbagai keputusan, maka
sangat perlu bagi pengguna sistem informasi berbasis komputer untuk
mengendalikan pemakaian sistem pengolah data berbasis komputer tersebut secara
lebih baik.
Alasan utama untuk sebuah manajemen
sistem informasi yang efektif adalah:
1.
Ketergantungan
terhadap Sistem Informasi
Meningkatnya
ketergantungan kepada sistem informasi dan prasarana pendukung sistem informasi
itu sendiri sebagai akibat penggunaan informasi dalam aktivitas bisnis
sehari-hari. Sistem informasi telah menjadi sebuah kebutuhan sehari-hari dalam
menjalankan setiap kegiatan dalam organisasi bisnis. Organisasi bisnis menjadi
sangat tergantung kepada sistem informasi, tanpa bantuan sebuah sistem
informasi perusahaan tidak dapat beroperasi lagi dan dapat melumpuhkan seluruh
kegiatannya.
Perusaahaan
retail kecil seperti Indomart, Alfamart dan sejenisnya telah menggunakan sebuah
sistem informasi berbasis komputer. Bayangkan saja apa yang akan terjadi jika
sistem informasi yang ada di perusahaan retail besar seperti Makro, Giant atau
Carefour macet, maka hampir seluruh kegiatan penjualan di tempat tersebut akan
terganggu.
2.
Skala
dan Biaya untuk investasi Sistem Informasi.
Skala
investasi dan biaya yang telah diinvestasikan pada saat ini maupun mendatang
kepada sebuah sistem informasi sangatlah besar. Berapa investasi yang
ditanamkan oleh perusahaan-perusahan seperti PT. Telkom, PT. Semen Gresik atau
investasi yang ditanamkan dalam industri perbankan seperti Bank BNI, Bank BCA
dan sebagainya? Sebagai contoh Investasi yang dilakukan oleh Komisi Pemilihan
Umum dalam Teknologi Informasi guna membantu Pemilihan Umum tahun 2004 ini
hampir mencapai Rp. 300 Milyar. Sehingga sebuah sistem informasi sangatlah
perlu dikelola dengan baik.
3.
Sistem
Informasi sebagai pendukung (enabler) pencapaian strategi dan tujuan
organisasi.
Dampak
potensial dari perkembangan teknologi informasi yang mengubah secara dramatis
praktek-praktek organisasi dan bisnis yang ada saat ini, serta adanya
kemungkinan menciptakan peluang-peluang baru dan untuk pengurangan biaya karena
penggunaan teknologi informasi.
4.
Ancaman
terhadap Sistem Informasi
Meningkatnya
kerentanan dan luasnya spektrum ancaman terhadap sistem informasi, seperti
cyber threats, hackers dan perang informasi (information war)
Teknik Audit berbantuan Komputer
Sesuai
dengan perkembangan zaman perkembangan terjadi beberapa perubahan – perubahan
terhadap teknik audit sehingga muncul suatu istilah Teknik Audit Berbantuan
Komputer ( TABK ) atau Computer Assisted Audit Techniques (CAATs) ini
sesuai dengan PSA No. 59. Tujuan PSAs ini di buat adalah apabila auditor
mempertimbangkan teknik – teknik yang menggunakan komputer sebagai suatu alat
audit.
Beberapa manfaat TABK adalah sebagai
berikut :
1. Tidak adanya dokumen masukan atau
tidak adanya jejak audit (audit trail ) dapat mengharuskan auditor
menggunakan TABK dalam penerapan pengujian dan pengendalian subtantif
2. Efektivitas dan efisiensi prosedur
audit dapat meningkat dengan penggunaan TABK
Terdapat beberapa tipe dari TABK
adalah sebagai berikut :
a.
Perangkat
Lunak Audit
Perangkat
lunak audit terdiri dari program komputer yang digunakan oleh auditor, sebagai
bagian prosedur auditnya, untuk mengolah data audit yang signifikan dari sistem
akuntansi entitas.
b.
Data
Uji
Teknik
data uji digunakan dalam pelaksanaan prosedur audit dengan cara memasukkan data
dalam sistem komputer entitas, dan membandingkan hasil yang diperoleh dengan
hasil yang telah ditentukan sebelumnya.
Pertimbangan dalam Penggunaan TABK
Ketika
merencanakan suatu proses audit, auditor perlu mempertimbangkan suatu kombinasi
semestinya teknik audit secara manual dan teknik audit secara berbantuan
komputer, dalam penggunaan TABK faktor – faktor ini harus dipertimbangkan :
1.
Pengetahuan, keahlian dan pengalaman komputer yang dimiliki oleh auditor
2.
Tersedianya TABK dan fasilitas komputer yang sesuai
3.
Ketidakpraktisan pengujian manual
4.
Efektivitas dan efisiensi
5.
Saat pelaksanaan
Dua tipe IT auditor
Dalam
sebuah tulisan (priandoyo 2006) bahwa Dikantor akuntan publik (KAP) ada dua
tipe IT auditor, jenis yang pertama adalah IT auditor yang berlatar belakang
akuntasi dan jenis yang kedua umumnya berlatar belakang teknik atau komputer.
Ada perbedaan mendasar diantara kedua tipe ini, yang sangat mempengaruhi cara
kerja dan pandangan mereka kedepan.
Tipe I: Accounting type
Dengan
background accounting tentunya auditor ini sangat paham mengenai istilah OTC
(order to cash), PTP (purchase to pay) dan term financial statement yang lain.
Tipe ini lebih menguasai seputar ERP package seperti SAP ataupun Oracle Finance
dan kontrol-kontrol didalamnya. Auditor ini umumnya kurang tertarik dengan
masalah security apalagi dilevel OS dan DB. Namun penguasaan tentang ERP dan
controlnya hampir dipastikan lebih berkualitas dibandingkan jenis yang lain
Tipe II: Computer Science
Background
CS tentunya membuat auditor tipe ini memiliki penalaran logika yang lebih baik,
dilengkapi dengan keterampilan pemrograman, db, dan system administration.
Auditor tipe ini umumnya lebih tertarik dalam membahas masalah security dilevel
OS dan DB.
Yang
menjadi pertanyaan tipe yang mana yang lebih baik? tipe pertama atau yang kedua?
Jika pertanyaan ini diajukan dalam wilayah KAP tentunya tipe accounting adalah
tipe yang paling baik. Ini tentunya didukung dengan core/inti business KAP
adalah di bidang audit/akuntasi sehingga IT auditor dengan tipe ini akan lebih
mudah beradaptasi dan tentunya menikmati pekerjaannya dengan baik.
Sedangkan
tipe CS tentunya membutuhkan waktu yang lebih panjang untuk mempelajari proses
akuntasi berikut termin-termin yang sama sekali baru. Hal-hal ini menyebabkan
beberapa IT auditor tipe CS kurang menikmati bekerja di KAP.
Namun bila
pertanyaan ini diajukan pada kelanjutan karir IT auditor kedepan. Maka auditor
tipe CS tentunya akan lebih beruntung dibandingkan dengan auditor tipe
Accounting. Penjelasannya adalah pada struktur IT auditor disebuah perusahaan.
IT auditor bisa ditempatkan dalam banyak posisi dalam divisi IT, IT auditor
dengan tipe CS bisa ditempatkan pada departement planning, quality control,
hingga security. Sedangkan tipe accounting kemungkinan besar ditempatkan pada
divisi audit yang merupakan kepanjangan dari manajemen. Dengan kata lain
pilihan karir bagi tipe CS jauh lebih besar dan terbuka tipe accounting.
Namun
dalam prakteknya dilapangan ternyata jauh lebih bervariasi karena disesuaikan
dengan visi perusahaan itu sendiri. Sebuah kasus di perusahaan telekomunikasi
nasional di tanah air, IT auditor diambil dari orang-orang IT yang kemudian
mendapat training untuk menjadi IT auditor, sementara di tempat lain IT auditor
justru diambil dari security expert di konsultan untuk security yang tidak
memiliki background penuh di audit IT.
Jadi kalau
boleh mengambil kesimpulan tipe yang terbaik sangat tergantung pada individu
yang bersangkutan, bagaimana ia membawa dan mengarahkan dirinya dan
menyesuaikan dengan kebutuhan pasar.
Software Komputer
v Beberapa program komputer, yang
disebut computer audit software (CAS) atau generalized audit software (GAS),
telah dibuat secara khusus untuk auditor.
v CAS adalah program komputer yang,
berdasarkan spesifikasi dari auditor, menghasilkan program yang melaksanakan
fungsi-fungsi audit.
Pemakaian Software computer
v Langkah pertama auditor adalah
memutuskan tujuan-tujuan audit, mempelajari file serta databse yang akan
diaudit, merancang laporan audit, dan menetapkan bagaimana cara menghasilkannya.
v Informasi ini akan dicatat dalam
lembar spesifikasi dan dimasukkan ke dalam sistem melalui program input data.
v Program ini membuat catatan
spesifikasi yang digunakan CAS untuk menghasilkan satu atau lebih program
audit.
v Program audit memproses file-file
sumber dan melaksanakan operasional audit yang dibutuhkan untuk menghasilkan
laporan audit yang telah ditentukan.
Fungsi Umum Software Audit Komputer
–
Pemformatan ulang
–
Manipulasi file
–
Perhitungan
–
Pemilihan data
–
Analisis data
–
Pemrosesan file
–
Statistik
–
Pembuatan laporan
Audit Operasional Atas Suatu SIA
Berbagai
teknik dan prosedur yang digunakan dalam audit operasional hampir sama dengan
yang diterapkan dalam audit sistem informasi dan keuangan.
v Perbedaan utamanya adalah bahwa
lingkup audit sistem informasi dibatasi pada pengendalian internal, sementara
lingkup audit keuangan dibatasi pada output sistem.
v Sebaliknya, lingkup audit
operasional lebih luas, melintasi seluruh aspek manajemen sistem informasi.
v Tujuan audit operasional
mencakup faktor-faktor seperti: efektivitas, efisiensi, dan pencapaian tujuan.
v Pengumpulan bukti mencakup
kegiatan-kegiatan berikut ini :
v Meninjau kebijakan dokumentasi
operasional
v Melakukan konfirmasi atas prosedur
dengan pihak manajemen serta personil operasional
Prosedur pengumpulan bukti, cont.
ü Mengamati fungsi-fungsi dan kegiatan
operasional
ü Memeriksa rencana dan laporan
keuangan serta operasional
ü Menguji akurasi informasi
operasional
ü Menguji pengendalian
