Upload File

pengertian audit

prev
next
out of 35
Download Pengertian Audit

Upload: rahma-g-a-jie

Post on 13-Jul-2015

549 views

Category:

Documents


0 download

Report

TRANSCRIPT

Pengertian AuditApa itu Audit Sistem Informasi / Teknologi Informasi? Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait. Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan audit sistem informasi (teknologi informasi). Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relatif baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis. Ada beberapa aspek yang diperiksa pada audit sistem teknologi: informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Tahapan-tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program. Selanjutnya adalah pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee. Terakhir adalah membuat laporan audit. Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan). Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam bentuk file softcopy). Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu, audit around computer, audit trought computer dan audit with computer. Jika tingkat

pemakaian TI tinggi maka audit yang dominan digunakan adalah audit with computer atau yang biasa disebut dengan teknik audit berbantuan computer atau menggunakan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem. Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure. Standar yang aplicable untuk audit TI adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2. Audit Independent, S3. Profesional Ethic and standard, S4.Profesional competence, S5. Planning, S6. Performance of Audit Work, S7. Reporting. S8.Follow-Up Activity, F9. Irregularities and Irregular Act, S10. IT Governance dan S11. Use of Risk Assestment in Audit Planning. IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intrution detection system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan audit keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu Cobit. COBIT (Control Objective for Information Related Tecnology) COBIT (Control Objective for Information Related Tecnology) adalah kerangka tata kelola TI (IT governance) yang ditujukan kepada manajemen, staf pelayanan TI, control departemen, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis (business process owners), untuk memastikan confidenciality, integrity and availability data serta informasi sensitif dan kritikal. COBIT didesign terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan and Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Dengan melakukan kontrol terhadap ke 34 objektif tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola

dan kontrol yang diperlukan untuk lingkungan TI. Untuk mendukung IT process tersebut tersedia lagi sekitar 215 tujuan control yang lebih detil untuk menjamin kelengkapan dan efektifitas implementasi. Saat ini sudah terbit Cobit 4.1. The COBIT Framework juga memasukkan hal berikut Maturity Models Untuk memetakan status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan dengan the best in the class in the Industry dan juga International best practices. Critical Success Factors (CSFs) Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI. Key Goal Indicators (KGIs) Kinerja proses-proses TI sehubungan dengan kebutuhan bisnis dan Key Performance Indicators (KPIs) Kinerja proses-proses TI sehubungan dengan process goals COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah generally applicable and accepted digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP). Suatu perencanaan audit TI dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut. Hasil Audit? Siapa yang Melakukan Audit? Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu. Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan yang diperlukan. Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati bersama. Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan auditor. Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen. Siapakah sebaiknya yang melakukan audit sistem informasi? Audit sistem informasi dapat dilakukan sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor independent) untuk melakukannya. Di AS hasil audit sistem informasi terhadap bank harus dipublikasikan kepada publik. Dengan demikian pengguna jasa, nasabah mengetahui kondisi layanan sistem informasi pada bank tersebut. Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum yang mengatur tata cara pelaporan tersebut.

BAB 4 Bagaimana Audit TI/SI Dilakukan ?Latar Belakang Informasi merupakan salah satu sumber daya strategis suatu organisasi, oleh karena itu, untuk mendukung tercapainya visi dan misi suatu organisasi, pengelolaan informasi menjadi salah satu kunci sukses. Sistem informasi merupakan salah satu sub sistem organisasi untuk mengelola informasi. Saat ini sistem informasi dioperasikan oleh hampir seluruh sumber daya manusia suatu organisasi sehingga tidak dapat dipisahkan dengan operasi dan kehidupan organisasi. Teknologi informasi merupakan komponen penting dari sistem informasi, selain data/informasi, sumber daya manusia dan organisasi. Teknologi informasi yang dimaksud adalah teknologi telematika, telekomunikasi dan informatika, yang mencakup teknologi komputer (perangkat keras, perangkat lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi data digital sebagai infrastruktur dari jaringan komputer. Perlu teknik untuk mengendalikan dan memastikan bahwa sistem informasi sudah sesuai dengan tujuan organisasi. Audit sitem informasi merupakan suatu cara untuk menilai sejauh mana suatu sistem informasi telah mencapai tujuan organisasi. Penelitian ini ditujukan untuk mencari model untuk mengaudit sistem informasi berbasis kendali. Model yang dikembangkan mencakup: (1) konsep struktur/ kerangka dan prosedur pelaksanaan audit, (2) materi/ isi yang dijadikan sebagai tolok ukur untuk penilaian dan (3) perangkat lunak bantu yang memudahkan dokumentasi dan pengolahan hasil audit. Pada makalah ini akan diuraikan konsep struktur/ kerangka dan prosedur audit sistem informasi saja, dua bagian lainnya akan disampaikan pada makalah terpisah. 2. Audit Sistem Informasi Berbasis AUDIT SISTEM INFORMASI

Sistem informasi adalah sekumpulan komponen yang saling berhubungan yang mengumpulkan (collect/ retrieve), memproses, menyimpan dan mendistribusikan informasi untuk mendukung pembuatan keputusan dan pengendalian suatu organisasi. Informasi adalah data yang telah diolah menjadi bentuk yang bermakna dan bermanfaat bagi pemakai. Data adalah fakta yang menyatakan suatu kejadian atau lingkungan fisik yang belum dikelola menjadi bentuk yang bermakna dan bermanfaat bagi manusia. Audit sistem informasi didefinisikan sebagai proses pengumpulan dan evaluasi fakta/ evidence untuk menentukan apakah suatu sistem informasi telah melindungi aset, menjaga integritas data, dan memungkinkan tujuan organisasi tercapai secara efektif dengan menggunakan sumber daya secara efisien. Dalam pelaksanaan audit digunakan etika profesi yang dirumuskan oleh organisasi profesi Information System Audit and Control Association (ISACA)

Dalam melaksanakan audit faktor-faktor berikut harus diperhatikan: 1. Dibutuhkan informasi yang dapat diukur dan sejumlah kriteria (standar) yang dapat digunakan sebagai panduan untuk mengevaluasi informasi tersebut, 2. Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas untuk menentukan lingkup tanggungjawab auditor, 3. Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup untuk memenuhi tujuan audit, 4. Kemampuan auditor memahami kriteria yang digunakan serta sikap independen dalam mengumpulkan bahan bukti yang diperlukan untuk mendukung kesimpulan yang akan diambilnya.

Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000). Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.

Audit Sistem Informasi merupakan pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit Sistem Informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Pada dasarnya, Audit Sistem Informasi dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. Keuntungan adanya audit antara lain : y y menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi, memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan, y y y y y y mengukur tingkat efektifitas dari sistem, mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang, menyediakan informasi untuk proses peningkatan, meningkatkan saling memahami antar departemen dan antar individu, melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke manajemen.

Informasi audit harus disimpan dan dijaga sehingga sebuah aksi dapat ditelusuri. Data audit harus dijaga dari modifikasi dan perusakan dari pihak yang tidak bertanggung jawab.

METHODOLOGI AUDIT SISTEM INFORMASI

Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi. Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi persediaan, aktivitas nasabah, dan lain-lain. Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit: 1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak. 2. Tetapkan langkah-langkah audit yang rinci. 3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat. 4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan. 5. Telaah apakah tujuan audit tercapai. 6. Sampaikan laporan kepada pihak yang berkepentingan. 7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice. penjualan, pembelian, transaksi aktivitas

Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit: 1. 2. 3. 4. Audit subject. Menentukan apa yang akan diaudit. Audit objective. Menentukan tujuan dari audit. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.

5. 6. 7. 8.

Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas: o o o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit. Kesimpulan umum dari auditor. Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak o o Rekomendasi. Tanggapan dari manajemen (bila perlu). Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih

KATEGORI AUDIT TI Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. Dalam praktiknya, tahapantahapan dalam audit TI tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ). Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati.

Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review sourcecode bila diperlukan). Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy). Biasanya, auditor TI menerapkan teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Sesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan batasanbatasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya laporan audit pada umumnya.

Model audit sistem informasi berbasis kendali ini didasarkan pada suatu model fungsional sistem informasi, di mana sistem informasi dibagi dalam 2 fungsi [2], yaitu: fungsi manajemen dan fungsi aplikasi, di mana fungsi manajemen membungkus fungsi-fungsi aplikasi (Gambar 4.1)

Informasi

Data Prosedur (BD/NW) Interoperabilitas (HW/SW) Pemroses Aplikasi Dokumen Sistem Informasi

Gambar 4.1. Lapisan Fungsional Sistem Informasi LANGKAH DASAR AUDIT SI

Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit: 1) Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak. 2) Tetapkan langkah-langkah audit yang rinci. 3) Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat. 4) Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.

5) Telaah apakah tujuan audit tercapai. 6) Sampaikan laporan kepada pihak yang berkepentingan. 7) Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.

Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit: 1) Audit subject. Menentukan apa yang akan diaudit. 2) Audit objective. Menentukan tujuan dari audit. 3) Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit. 4) Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit. 5) Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara. 6) Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi. 7) Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi. 8) Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas: o o o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit. Kesimpulan umum dari auditor. Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak o o Rekomendasi. Tanggapan dari manajemen (bila perlu). Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih

PERKEMBANGAN PENDEKATAN AUDIT SISTEM INFORMASI

Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu (Watne, 1990) : 1) Auditing Around The Computer. Pendekatan ini merupakan pendekatan yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh perusahaan diperlakukan sebagai Black Box. Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja. 2) Auditing With The Computer. Pendekatan ini digunakan untuk mengotomatisati banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat lunak Generalized Audit Software, yaitu program audit yang berlaku umum untuk berbagai klien. 3) Auditing Through The Computer. Pendekatan ini lebih menekankan pada langkah pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang memadai.

TAHAP-TAHAP AUDIT SISTEM INFORMASI Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut : 1. Tahap pemeriksaan pendahuluan 2. Tahap pemeriksaan rinci. 3. Tahap pengujian kesesuaian.

4. Tahap pengujian kebenaran bukti. 5. Tahap penilaian secara umum atas hasil pengujian.

1. Tahap Pemeriksaan Pendahuluan.

Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit. 2. Tahap Pemeriksaan Rinci. Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya. 3. Tahap Pengujian Kesesuaian. Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri. 4. Tahap Pengujian Kebenaran Bukti. Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) : 1) Mengidentifikasi kesalahan dalam pemrosesan data 2) Menilai kualitas data 3) Mengidentifikasi ketidakkonsistenan data

4) Membandingkan data dengan perhitungan fisik 5) Konfirmasi data dengan sumber-sumber dari luar perusahaan.

5. Tahap Penilaian Secara Umum atas Hasil Pengujian. Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup : (1) pengendalian umum, (2) pengendalian aplikasi, yang terdiri dari : (a) pengendalian secara manual, (b) pengendalian terhadap output sistem informasi, dan (c) pengendalian yang sudah diprogram.

PEMAHAMAN PENGENDALIAN UMUM Pengendalian umum pada perusahaan biasanya dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan aspek logikal biasanya terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya adalah: 1). Pengendalian organisasi dan otorisasi. Yang dimaksud dengan organisasi disini adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Disini juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator. 2). Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.

3) Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap sistem informasi juga harus dikendalikan. Termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi,serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi. 4) Pengendalian akses fisikal dan logikal. Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitasfasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).

PENGENDALIAN APLIKASI. PEMAHAMAN PENGENDALIAN APLIKASI Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik. Hubungan Pengendalian Umum dan Aplikasi Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik. Macam Aplikasi Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE: 1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.

2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server. Macam Pengendalian Aplikasi Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi beberapa: 1. Organisasi Aplikasi 2. Akses Aplikasi 3. Input 4. Proses 5. Output 6. Master File/Database Pemahaman atas Pengendalian Organisasi dan Akses Aplikasi Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian aplikasi: organisasi dan akses. Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut. Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya. Pemahaman atas Pengendalian Input Modul ini melanjutkan pengendalian akses dari modul 3.0b, yang pertama melihat pada proses

pengendalian input. Inti dari pengendalian input adalah memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi. Beberapa pengendalian input otomatis yang biasa diprogram: Validation checks 1. Format checks: sesuai dengan format yang ditentukan 2. Range and limit checks 3. Check digits 4. Validity checks (lookup) 5. Compatibility checks (data dan turunan) Duplicate Checks Membandingkan dengan input transaksi sebelumnya Matching Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang terhubungkan, contoh: penerimaan barang dengan tagihan Pemahaman atas Pengendalian Proses Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master. Adapun tipe pengendalian proses adalah sebagai berikut: 1. Run to run control 2. Pivot totals 3. Control/Hash totals: non numerical control 4. Control accounts 5. Data file control: menghitung instan entitas 6. Transaction validation control 7. File reconciliation control Pemahaman atas Pengendalian Output

Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata. Beberapa tipe pengendalian output: 1. Ekspektansi output (logs) 2. Kelengkapan output (misal dengan no halaman) 3. Pengendalian atas spooled output 4. Reasonableness 5. Output rutin 6. Distribusi output 7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable 8. SQL output Pemahaman atas Pengendalian Berkas Master Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti: Anomaly penambahan Anomaly penghapusan

Anomaly pemuktahiran/pembaruan Fungsi manajemen mencakup: manajemen puncak, manajemen pengembangan, manajemen operasi dan pemeliharaan, manajemen kualitas, manajemen keamanan, dan manajemen data. Sedangkan fungsi aplikasi mencakup sub fungsi: batas antara pemakai dan sistem aplikasi, input, pemrosesan, basis data, komunikasi data dan output, prosedur dan dokumentasi. Sedangkan dilihat dari fungsi aplikasi, sistem informasi dapat dimodelkan seperti pada gambar 4.2.

Gambar Model IPO (Input-Proses-Output) dan Komponen Aplikasi Sistem Informasi PENGENALAN KERTAS KERJA Kertas Kerja: Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang diterapkan, pelaksanaan pengujian dan bukti yang diperoleh serta kesimpulan yang diperoleh selama audit. Kertas kerja merupakan pendukung utama laporan audit, alat koordinasi dan supervisi, bukti bahwa auditor telah melakukan audit sesuai dengan standar auditing yang Berterima umum.

Tujuan Kertas Kerja: Untuk mendokumentasikan semua bukti audit yang diperoleh selama pelaksanaan audit. Untuk mengorganisasikan/mengkoordinasikan semua tahap atau langkah-langkah audit. Untuk membantu auditor senior, partner atau pimpinan kantor akuntan dalam mereview pekerjaan yang dihasilkan oleh stafnya. Untuk mempermudah atau sebagai dasar penyusunan laporan audit

Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta temuantemuan yang telah dilaporkan dalam laporan audit.

Pedoman Pembuatan Kertas Kerja Setiap kertas kerja harus bertujuan Setiap topik dibuatkan kertas kerja sendiri Indentitas (judul) yang jelas Diberi indeks atau indeks silang Semua langkah (prosedur audit) harus dijelaskan Berisi komentar auditor yang mencerminkan kesimpulan Ada paraf dan tanggal pembuatan/evaluasi Penyimpanan terpisah antara yang sudah selesai dengan yang belum selesai

Jenis Kertas Kerja Kertas kerja neraca saldo Jadwal dan analisis Memo audit dan informasi pendukung Jurnal penyesuaian dan pengklasifikasian kembali

STANDAR UMUM KERTAS KERJA

Fungsi Kertas Kerja y y y Pendukung pendapat auditor. Membantu dalam pengarahan dan pengawasan pekerjaan. Penyediaan catatan tentang: 1. Prosedur audit yang dilakukan. 2. Pengujian yang dilakukan 3. Informasi yang diperoleh. 4. Kesimpulan yang dicapai.

y

Menyediakan bukti bahwa audit telah diarahkan menurut Standar Profesional Audit Internal

Kelengkapan Kertas Kerja y Kertas kerja harus akurat dan lengkap 1. Tidak ada pertanyaan signifikan dalam lingkup atau yang berhubungan dengan tujuan audit yang tidak dapat terjawab. 2. Kertas kerja harus berdiri sendiri, dalam hal ini harus dinyatakan secara jelas bahwa pekerjaan telah dilaksanakan, bagaimana dan dari mana sampel dipilih, tujuan kertas kerja, temuan apa saja yang telah dibuat, dan lain-lain. y Setiap bagian dari kertas kerja harus terdiri dari: 1. Gambaran judul 2. Identifikasi sumber jika jelas 3. Tanggal persiapan auditor awal 4. Nomer indeks kertas kerja

PRINSIP LAPORAN AUDIT

Hasil Laporan audit merupakan media yang dipakai oleh auditor dalam berkomunikasi dengan klien. Laporan audit berupa komunikasi dan ekspresi auditor terhadap objek yang diaudit agar laporan atau ekspresi auditor tadi dapat dimengerti maka laporan itu harus mampu dipahami oleh penggunanya.

Laporan audit ini terdiri dari: 1) Maksud dan tujuan dari review pengendalian terhadap penerapan TI di klien. 2) Ruang lingkup dan referensi pengendalian yang digunakan sebagai bahan acuan penilaian pengendalian TI yang diterapkan dalam klien. 3) Metodologi review merupakan langkah-langkah audit dan teknik pemerolehan informasi untuk mendukung laporan review. 4) Pernyataan penjelasan hasil review:

a) Permasalahan, menjelaskan pokok masalah yang saat ini dihadapi oleh klien. b) Temuan, menjelaskan bukti audit untuk mendukung kesimpulan masalah. c) Kriteria/standar, menjelaskan pengendalian yang seharusnya diterapkan oleh klien. d) Kondisi, menjelaskan sebab dan akibat serta aktifitas/kegiatan terkini. e) Risiko, menjelaskan potensi dan dampak negatif terhadap hilangnya atau tidak diterapkannya pengendalian. f) Tanggapan manajemen, menjelaskan komentar dan tanggapan

manajemen terhadap permasalahan dan temuan yang telah disampaikan. g) Rekomendasi, menjelaskan saran-saran perbaikan dan implementasi penge pengendalian yang harus diterapkan dalam kegiatan/aktifitas klien.

Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based approach dengan mengacu pada: 1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65 2. COBIT 4.0 3. ISO 17799:2005 4. best practices lainnya (ISACA Guidelines, CISA 2007, COSO, Sarbanes-Oxley Act, SANS) Pelaksanaan audit dilakukan dengan Cara yang dapat dilaksanakan adalah: 1. Penyampaian kuisioner a. Kuisioner Pengendalian Sistem Informasi b. Kuisioner I Analisis Pengelolaan Teknologi Informasi, Management Awareness c. Kuisioner II Analisis Pengelolaan Teknologi Informasi, Information Technology Controls Diagnostic 2. Wawancara 3. Observasi a. Major application

b. Infrastruktur pendukung data center: air conditioning, smoke detector, fire extinguisher, hydrant, dll. c. Sistem Operasi d. Database e. Internet, LAN, WAN f. Perangkat Keras dan Lunak g. Kebijakan dan Standard Operation Procedure 4. Studi kebijakan, prosedur, dan dokumentasi 5. Pengujian dengan menggunakan perangkat lunak

Referensi Control Objective for Information and related Technology (COBIT):1. Mengamankan Aset Sistem Informasi (Assets Safeguarding) Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file/data dan fasilitas Teknologi Informasi lainnya harus dijaga dengan sistem pengendalian internal yang baik agar tidak terjadi misefisiensi, mis-efektifitas, dan penyalahgunaan aset entitas. Dengan demikian sistem pengamanan aset sistem informasi merupakan suatu hal yang sangat penting yang harus dipenuhi oleh entitas. 2. Efektifitas sistem Efektifitas sistem informasi entitas memiliki peranan penting dalam proses

pengambilan keputusan usaha/bisnis. Suatu sistem informasi dapat dikatakan efektifbila sistem informasi memberikan manfaat dan ketepatgunaan teknologi informasi dalam operasi dan administrasi. 3. Efisiensi sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang dimiliki oleh entitas terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen, dalam hal ini mewakili entitas, harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal. 4. Memberikan dan mengelola ketersediaan layanan sistem informasi (Availability) Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi. Teknologi Informasi hendaknya dapat mendukung secara berkelanjutan terhadap proses usaha/bisnis entitas. Makin sering terjadi gangguan (system downtime) maka berarti tingkat ketersediaan sistem rendah. 5. Menjaga kerahasiaan (Confidentiality)

Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan supaya terlindung dari akses dari pihak-pihak yang tidak berwenang dan bertanggungjawab. 6. Meningkatkan kehandalan (Reability)

Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organ isasi, pelaporan dan pertanggungjawaban. 7. Menjaga integritas data (Data Integrity)

Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atributatribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu entitas tidak akan lagi memiliki informasi/laporan yang benar, bahkan entitas dapat menderita k kerugian karena pengawasan yang tidak tepat atau keputusan-keputusan yang salah. Faktor utama yang membuat data berharga bagi entitas dan pentingnya untuk menjaga integritas data adalah: a. Makna penting data/informasi bagi pengambilan keputusan adalah peningkatan kualitas data sehingga dapat memberikan informasi bagi para pengambil keputusan. b. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing maka kehilangan data akan memberikan dampak buruk bagi entitas. Pesaing dapat menggunakan data tersebut untuk mengalahkan entitas saingannya sehingga mengakibatkan entitas menjadi kehilangan pasar, berkurangnya keuntungan, dan sebagainya. 8. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini, baik itu di internal dan eksternal organisasi/entitas (Compliance) Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar entitas memberikan dampak positif dan bernilai tambah guna memberikan keyakinan yang cukup bagi para pihak yang berkepentingan entitas khususnya para regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak meniadakan prinsip biayamanfaat dalam melakukan kegiatan usaha/bisnis entitas khususnya kegiatan teknologi informasi.

Komponen Aplikasi Sistem Informasi Sistem informasi merupakan sistem yang mengolah data menjadi informasi untuk

mendukung operasi dan pengambilan keputusan suatu organisasi. Secara fisik, sistem informasi memiliki 4 komponen, yaitu: Data/ Informasi (infoware), sebagai masukan dan keluaran dari sistem informasi.-Sumber daya manusia (brainware), sebagai user dan pengelola dari sistem informasi. Teknologi (technoware), yaitu teknologi komputer HW, SW, NW, BD Prosedur dan Organisasi (organiware), prosedur dibuat dalam bentuk langkah dan dokumen yang diperlukan/ harus diisi selama pengoperasian dan pengelolaan sistem. Sedangkan organisasi memberikan wadah untuk pengelolaan dan pengoperasian sistem informasi. Dilihat dari tipe pemroses data menjadi informasi, sistem informasi, dibagi menjadi: Manual, di mana manusia sebagai information processor. Terotomatisasi, di mana manusia sebagai operator yang menyediakan input-output, sedangkan komputer menjadi information processor. Semi manual, di mana information processor, sebagian manusia dan sebagian komputer.

Dengan demikian, model pada gambar 4.2 ini mengakomodasi sistem informasi yang manual, semi manual maupun yang terotomatisasi dengan menggunakan teknologi komputer.

4.1. Model Audit Sistem Informasi Berbasis Kendali Audit sistem informasi, jika dilihat sebagai model IPO (input-proses-output), dapat digambarkan seperti gambar 4.3.

Gambar Model Audit Sistem Informasi berbasis Kendali

Audit sistem informasi dilaksanakan untuk mencapai suatu tujuan, yaitu: ingin mengetahui apakah sistem informasi telah: Asset safeguard (As), mampu melindungi aset sistem informasi. Data integrity (Di), apakah mampu menjamin integritas data. Effectivity (Ek), apakah pengoperasiannya dalam rangka mencapai tujuan organisasi telah efektif. Efficiency (En), apakah dalam mencapai tujuan organisasi telah menggunakan sumber daya organisasi secara efisien.

Untuk mencapai tujuan tersebut, perlu dilakukan penilaian terhadap kondisi sistem informasi suatu organisasi (fakta). Pengumpulan fakta dilakukan dengan metode: Wawancara (Wr); Inspeksi (In); Kuisioner (Ks); Tes data (Td); Tes program (Tp). Metode di atas dapat digunakan secara sendiri atau merupakan kombinasi. Agar penilaian berlangsung sistematis, maka sistem

informasi suatu organisasi perlu dipartisi terutama berhubungan dengan sistem pengendalian dalam organisasi tersebut (struktur kendali). Untuk melaksanakan dan mengevaluasi fakta diperlukan standar dan prosedur audit. Agar penilaian proporsional, maka perlu dikaitkan dengan tingkat resiko dari masing-masing kendali dalam struktur kendali organisasi. Pada model yang dirancang: Tujuan yang ingin dicapai sesuai dengan tujuan dari audit sistem informasi. Struktur kendali didasarkan pada partisi sistem informasi atas fungsi manajemen dan fungsi aplikasi, dengan demikian ada kendali manajemen dan kendali aplikasi. Standar penilaian, diadopsi dari standar penilaian kualitas ISO-9001-2000. Resiko setiap kendali digunakan sebagai bobot terhadap tujuan audit.

Dengan demikian setiap kendali memberikan sumbangan terhadap tingkat pencapain tujuan audit.

Hasil audit, berupa indeks pencapain tujuan untuk keseluruhan dan masing-masing kendali, serta temuan yang bersifat penyimpangan dan rekomendasirekomendasi untuk memperbaiki yang terkait dengan pencapaian tujuan audit sistem informasi.

Tujuan Audit Sistem Informasi Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melakukan audit sistem informasi, seorang auditor harus memastikan tujuan-tujuan ini terpenuhi: 1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi atau penghancuran. 2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen 3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan dari pihak manajemen 4. Pemrosesan transaksi, file laporan dan catatan komputer lainnya telah akurat dan lengkap.

5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan. 6. File data komputer telah akurat, lengkap dan dijaga kerahasiaannya. Tujuan audit tersebut diatas berkaitan dengan komponen dari sistem informasi. Keterkaitan antara tujuan audit dan komponen sistem informasi dapat dilihat pada gambar 1.

Gambar. Komponen sistem informasi dan tujuan audit yang berkaitan

Waktu Pelaksanaan Audit

Dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan audit, baik itu sebelum atau pada saat implementasi ( pre-implementation system ), maupun setelah sistem live ( post-implementation system ).

Manfaat audit Pre-Implementation System: 1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria. 2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut. 3. Mengetahui apakah outcome sesuai dengan harapan manajemen.

Manfaat audit Post-Implementation System: 1. Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran untuk penanganannya. 2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis dan anggaran pada periode berikutnya. 3. Bahan untuk perencanaan strategis dan rencana anggaran di masa datang. 4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan. 5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan. 6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.

Spesialis Audit Sistem Informasi Kegiatan audit sistem informasi hendaklah dilakukan oleh seorang spesialis audit sistem informasi. Spesialis audit sistem informasi mereview dan mengaudit seluruh area pada sistem informasi berkaitan dengan standard sesuai dengan organisasimisal profesional, hukum, aturan, kebijaksanaan organisasi, metodologi, pelaksanaan, integritas juga efektifitas biaya, kehandalan dan efisiensi.

Adapun fungsi dari spesialis audit sistem informasi adalah sebagai berikut: 1. Memimpin pelaksanaan audit dan review prosedur sistem. (seperti : sistem aplikasi, sistem perangkat keras, kebijaksanaan dan prosedur sekuriti, integritas DBMS, perangkat lunak sistem, prosedur komunikasi/jaringan komputer, operasi komputer) berdasarkan pertimbangan kepada : hukum yang berkaitan dengan teknologi Informasi, kebijaksanaan organisasi, metodologi, praktek profesional, dan lainnya. 2. Memimpin pelaksanaan review sistem komputer dan informasi berkaitan dengan kehandalan, efisiensi, dan efektifitas biaya 3. Memimpin audit/review produktivitas sumber daya manusia teknologi Informasi 4. Merencakan, menjadwal sumber daya untuk aktifitas audit 5. Memimpin audit/review sistem informasi yang sedang dikembangkan untuk menjamin agar sesuai dengan standard 6. Mengembangkan dan merawat objektif dan prosedur audit organisasi

Hasil yang diharapkan dari kegiatan audit sistem informasi yang dilakukan oleh seorang spesialis audit sistem informasi adalah sebagai berikut: 1. Dokumentasi obyektif , perencanaan, prosedur dan laporan audit. 2. Review secara berkala untuk memeriksa peningkatan kemampuan sistem

Untuk dapat melaksanakan tugasnya dengan baik, seorang spesialis audit sistem informasi harus memiliki pengetahuan dan ketrampilan sebagai berikut: 1. Siklus pengembangan sistem informasi 2. Analisis sistem dan teknik disain tingkat lanjutan serta metodologi pengembangan sistem. 3. Pemahaman yang baik, menangani sistem aplikasi, protokol komunikasi dan jaringan, dan operasi komputer 4. Pemahaman yang baik mengenai standard kualitas internasional, aturan-aturan Teknologi Informasi, kebijaksanaan organisasi, metodologi dan lain sebagainya. 5. Ketrampilan intepersonal yang baik 6. Harus dapat berargumentasi secara persuasif pada pertemuan informal dan formal.

7. Memiliki kemampuan menulis laporan dan teknis presentasi yang sangat baik 8. Memiliki ketrampilan otomasi perkantoran (word processing, spreadsheet, graphics) yang sangat baik. 9. Metodologi audit yang sangat baik 10. Kemampuan di atas raata-rata dalam mengobservasi detail dan terus menerus.

Selain pengetahuan dan ketrampilan diatas seorang spesialis audit sistem informasi juga dituntut memenuhi syarat untuk akreditasi pribadi di bawah suatu system sertifikasi kualitas yang diakui secara internasional. Salah satu sertifikasi profesional sebagai standar pencapaian prestasi dalam bidang audit, kontrol, dan keamanan sistem informasi yang telah diterima secara internasional adalah CISA (Certified Information Systems Auditor) yang dikeluarkan oleh ISACA (Information Systems Audit and Control Association).

Studi KasusSebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi. Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut: 1. Manajemen Proyek Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek. 2. Desain Proses dan Pengendalian Kontrol Aplikasi Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output. 3. Desain Infrastruktur Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server, workstation, sistem operasi, database dan komunikasi data). Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang terintegrasi tersebut. Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat implementasi dilakukan, yaitu review terhadap:

Migrasi data, pada saat roll-out ke cabang-cabang, termasuk kapasitas pemrosesan dan penyimpanannya. Aspek lainnya termasuk persiapan help-desk , contingency dan security . Kesiapan pemakai dalam menggunakan sistem ini, kualitas pelatihan yang diberikan dan dokumentasi pengguna ( user manual ) Prosedur-prosedur manajemen perubahan ( change management ) dan testing

Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat go-live. Audit TI: Sebelum atau Sesudah Seiring dengan makin banyaknya institusi, baik pemerintahan maupun swasta, yang mengandalkan TI untuk mendukung jalannya operasional sehari-hari, maka kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem informasi semakin meningkat. Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem informasi, antara lain:

Biaya pengembangan sistem melampaui anggaran yang ditetapkan. Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang ditetapkan. Sistem yang telah dibangun tidak memenuhi kebutuhan pengguna. Sistem yang dibangun tidak memberikan dampak effisiensi dan nilai ekonomis terhadap jalannya operasi institusi, baik pada masa sekarang maupun masa datang. Sistem yang berjalan tidak menaati perjanjian dengan pihak ketiga atau memenuhi aturan yang berlaku.

Untuk mengantisipasi hal itu, perusahaan menginginkan adanya assurance dari pihak yang berkompeten dan independen mengenai kondisi sistem TI yang akan atau sedang mereka gunakan. Pihak yang paling berkompeten dan memiliki keahlian untuk melakukan review tersebut adalah Auditor Sistem Informasi (Auditor TI). Pekerjaan auditor TI ini belum banyak dikenal di Indonesia . Di samping itu, jumlah tenaga auditor TI yang menyandang sertifikasi Internasional ( CISA, Certified Information System Auditor ) juga masih sangat terbatas. Best Practice menyarankan agar dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan review, baik itu sebelum atau pada saat implementasi ( preimplementation system ), maupun setelah sistem live ( post-implementation system ). Manfaat Pre-Implementation Review:

Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut. Mengetahui apakah outcome sesuai dengan harapan manajemen.

Manfaat Post-Implementation Review:

Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran untuk penanganannya. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis dan anggaran pada periode berikutnya. Bahan untuk perencanaan strategis dan rencana anggaran di masa datang. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan.

Sumber : ebizzasia.com


13 BAB II TINJAUAN PUSTAKA 2.1 Audit Internal 2.1.1 Pengertian

7 BAB II TINJAUAN PUSTAKA 2.1 Audit 2.1.1 Pengertian Audit

AUDIT MANAJEMEN ATAS REALISASI ANGGARAN BIAYA OPERASIONALrepository.usd.ac.id/37847/2/162114141_full.pdf · 2020. 8. 14. · A. Pengertian Audit ... 6. Fungsi Lingkungan ..... 15

BAB II PERSEPSI MANAJEMEN TENTANG KINERJA …e-journal.uajy.ac.id/3433/3/2EA14941.pdf2.1 Pengertian Internal Audit ... internal audit mengikuti standar professional yang mengarahkan

PENGARUH AUDIT DELAY, AUDIT TENURE DAN ROTASI AUDIT

REVIEW AUDIT PENDOKUMENTASIAN SECARA ......2017/03/14  · AUDIT PENDOKUMENTASIAN REKAM MEDIS 2 Lilywi PEMBAHASAN A. Pengertian B. Guna RM C. Peraturan dan kebijakan D. Jenis Analisis

BAB II TINJAUAN PUSTAKA 2.1 Audit 2.1.1 Pengertian Audit Setiap

BAB 2 LANDASAN TEORI 1.1 Audit 1.1.1 Pengertian Audit · PDF fileBAB 2 LANDASAN TEORI 1.1 Audit 1.1.1 Pengertian Audit Pengertian audit menurut Mulyadi ... Dalam pelaporan pun, audit

EVALUASI SISTEM PENGENDALIAN MUTU AUDIT DI … · 7 1. Pengertian Audit ... (SPM 1:2011) dalam SA no. 220 ... Pengendalian Mutu Audit di Kantor Akuntan Publik Studi Kasus di Kantor

PERTEMUAN IX AUDIT SIKLUS PENDAPATAN DAN SIKLUS …univbsi.id/pdf/2014/440/440-P09.pdf · AUDIT SIKLUS PENDAPATAN DAN SIKLUS PENGELUARAN. I. AUDIT SIKLUS PENDAPATAN 1. PENGERTIAN

Pengertian dan Prinsip Audit Lingkungan - … · 1.2 Audit Lingkungan pembahasan diarahkan pada pengertian dan prinsip-prinsip pelaksanaan audit lingkungan yang kemudian dilanjutkan

BAB II TINJAUAN PUSTAKA 2.1 Pengertian Pelelangan BAB 2.pdf · melalui audit, review, evaluasi, pemantauan, dan kegiatan pengawasan lain ... Audit yang merupakan suatu alat bantu

BAB 2 LANDASAN TEORIlibrary.binus.ac.id/eColls/eThesisdoc/Bab2/2007-1... · 6 BAB 2 LANDASAN TEORI 2.1 Tinjauan Audit Operasinal 2.1.1 Pengertian Audit Operasional Audit operasional

BAB II TINJAUAN PUSTAKA 2.1 Audit 2.1.1 Pengertian Auditeprints.mercubuana-yogya.ac.id/4454/3/BAB II.pdf · 2019. 2. 11. · 9 BAB II TINJAUAN PUSTAKA 2.1 Audit 2.1.1 Pengertian Audit

BAB 2 LANDASAN TEORI 2.1 Teori-Teori Umum · 2.1.1 Audit 2.1.1.1 Pengertian Audit ... dan menampilkan informasi melalui arsitektur client/server dengan menggunakan fungsi transport

Pengertian Audit Manajemen Fungsi Keuangan

BAB II LANDASAN TEORI II.1 Audit II.1.1 Pengertian Auditthesis.binus.ac.id/Asli/Bab2/2009-2-00486-AK Bab 2.pdf · Jenis Audit menurut Arens dan Loebbecke yang ... mengelompokkan audit

PERSEPSI KARYAWAN TERHADAP PERANAN AUDIT INTERNAL · 2017-12-14 · yang dihadapi internal auditor, pengertian audit internal serta peranannya, pentingnya audit internal, tujuan dan

BAB II TINJAUAN PUSTAKA 2.1 Audit Internal 2.1.1 Pengertian

AUDIT · Web view1. PENGERTIAN AUDIT SECARA UMUM Laporan keuangan organisasi merupakan salah satu sarana untuk memenuhi akuntabilitas yang dituntut oleh para stakeholders. Tujuan

Audit SDM · Pengertian Audit SDM: Pemeriksaan dan penilaian secara sistematis, objektif dan terdokumentasi terhadap fungsi-fungsi organisasi yang terpengaruh oleh manajemen SDM

PENGARUH KARAKTERISTIK KOMITE AUDIT PADA KONDISI … · reports of listed manufacturing companies in Indonesia Stock ... 2.1.4.1 Pengertian Komite Audit ... perusahaan, khususnya

BUKTI AUDIT, PROSEDUR AUDIT DAN TEMUAN AUDIT

PENGERTIAN DAN TUJUAN AUDIT - fti.uajm.ac.idfti.uajm.ac.id/ajar/Audit Sistem Informasi/01 Pengertian dan Tujuan Audit.pdf · PENGERTIAN AUDIT Adalah suatu proses dari pengumpulan

PENGARUH AUDIT TENURE FEE AUDIT , DAN ROTASI AUDIT …eprints.umm.ac.id/64924/1/PENDAHULUAN.pdf · Audit Tenure, Fee Audit, dan Rotasi Audit Terhadap Kualitas Audit” ini dapat terselesaikan

PERTEMUAN 1: AUDIT DAN STANDAR AUDIT · bertanggung jawab kepada manajemen. Auditor internal pemerintah yaitu ... C. SOAL LATIHAN/TUGAS 1. Jelaskan pengertian audit yang saudara ketahui

Pengertian Istilah dan Sejarah Audit · Pengertian Istilah dan Sejarah Audit Ajib Rakhmanto, S.IP., M.Si. umber Daya Manusia (SDM) atau pegawai adalah merupakan komponen ... fungsi

II-1 BAB II LANDASAN TEORI 2.1 Pengertian Audit Pengertian audit

Audit, Pertanggungjawaban Pemerintah dan Auditor Sektor Publik file⚫EKAP4401/MODUL 1 1.3 Kegiatan Belajar 1 Pengertian, Cakupan, Objek, dan Ideologi Audit Sektor Publik A. PENGERTIAN

› xmlui › bitstream › handle › 123456789 › 6481 › Bab 2.pdf... BAB II TINJAUAN PUSTAKA 2.1 Audit Internal 2.1.1 ...BAB II TINJAUAN PUSTAKA 2.1 Audit Internal ... Pengertian

OPENING MEETING AUDIT INTERNAL - file.upi.edufile.upi.edu/.../audit_internal.pdf · TIPE AUDIT AUDIT INTERNAL AUDIT EKSTERNAL AUDIT EKSTRINSIK. JENIS AUDIT ... Temuan Audit dan Bukti

PENGERTIAN AUDIT LINGKUNGAN - achamad.staff.ipb.ac.idachamad.staff.ipb.ac.id/wp-content/plugins/as-pdf/Anwar Syam. SE...Audit lingkungan suatu perangkat pengelolaan lingkungan

PENGARUH AUDIT FORENSIK, AUDIT INVESTIGATIF DAN ...repositori.uin-alauddin.ac.id/13809/1/PENGARUH AUDIT FORENSIK, AUDIT... · PENGARUH AUDIT FORENSIK, AUDIT INVESTIGATIF, DAN

BAB II DASAR TEORI DAN PENGEMBANGAN …e-journal.uajy.ac.id/9753/3/2EA19646.pdf2.1.1. Pengertian Audit ... (Accounting Review, vol. 47) ... walaupun audit telah direncanakan dan dilaksanakan

BAB II KAJIAN PUSTAKA, KERANGKA PEMIKIRAN DAN …repository.unpas.ac.id/44623/3/BAB II.pdfMenurut Indra Bastian (2014:10) pengertian audit sektor publik adalah: “Audit sektor publik