Pengertian Audit Sistem Informasi
Ron Weber
(1999,10) mengemukakan bahwa audit sistem informasi adalah :
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
“Audit sistem
informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas
data, dapat mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumberdaya secara efisien”.
Jenis Audit IT
1. Sistem dan
aplikasi.
Audit yang
berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan
organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin
keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output
pada semua tingkat kegiatan sistem.
2. Fasilitas
pemrosesan informasi.
Audit yang
berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin
ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan
normal dan buruk.
3. Pengembangan
sistem.
Audit yang
berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan
obyektif organisasi.
4. Arsitektur
perusahaan dan manajemen TI.
Audit yang
berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur
organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna
untuk pemrosesan informasi.
5. Client/Server,
telekomunikasi, intranet, dan ekstranet.
Suatu audit
yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client,
server, dan jaringan yang menghubungkan client dan server.
Alasan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash
University, dalam salah satu bukunya Information System Controls and Audit
(Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu
dilakukan, antara lain:
1. Kerugian
akibat kehilangan data.
2. Kesalahan
dalam pengambilan keputusan.
3. Resiko
kebocoran data.
4. Penyalahgunaan
komputer.
5. Kerugian
akibat kesalahan proses perhitungan.
6. Tingginya
nilai investasi perangkat keras dan perangkat lunak komputer.
Manfaat Audit IT
a. Manfaat pada
saat Implementasi (Pre-Implementation Review)
1.
Institusi dapat mengetahui apakah sistem yang telah
dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2.
Mengetahui apakah pemakai telah siap menggunakan
sistem tersebut.
3.
Mengetahui apakah outcome sesuai dengan harapan
manajemen.
b. Manfaat
setelah sistem live (Post-Implementation Review)
1.
Institusi mendapat masukan atas risiko-risiko yang
masih yang masih ada dan saran untuk penanganannya.
2.
Masukan-masukan tersebut dimasukkan dalam agenda
penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode
berikutnya.
3.
Bahan untuk perencanaan strategis dan rencana anggaran
di masa mendatang.
4.
Memberikan reasonable assurance bahwa sistem informasi
telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5.
Membantu memastikan bahwa jejak pemeriksaan (audit
trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun
pihak lain yang berwewenang melakukan pemeriksaan.
6.
Membantu dalam penilaian apakah initial proposed
values telah terealisasi dan saran tindak lanjutnya.
Metodologi Audit IT.
Dalam praktiknya, tahapan-tahapan dalam audit IT tidak
berbeda dengan audit pada umumnya, sebagai berikut :
Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar
auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu
program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan
efektif dan efisien.
Mengidentifikasikan resiko dan kendali.
Untuk memastikan bahwa qualified resource sudah
dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi
praktik-praktik terbaik.
Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview,
observasi, dan review dokumentasi.
Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan
auditee.
Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman
pemeriksaan yang dilakukan.
Alasan dilakukannya Audit IT.
Ron Webber, Dekan Fakultas Teknologi Informasi, monash
University, dalam salah satu bukunya Information System Controls and Audit
(Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu
dilakukan, antara lain:
Kerugian akibat kehilangan data.
Kesalahan dalam pengambilan keputusan.
Resiko kebocoran data.
Penyalahgunaan komputer.
Kerugian akibat kesalahan proses perhitungan.
Tingginya nilai investasi perangkat keras dan
perangkat lunak komputer.
Resiko kecurangan
auditing yang diterima umum mengharuskan auditor untuk
menilai resiko kesalahan pernyataan material sampai kecurangan. Ketika auditor
mempertimbangkan resiko bawaan dan resiko pengendalian, auditor juga harus
mempertimbangkan resiko kecurangan. Auditor biasanya mempertimbangkan resiko
kesalahan pernyataan material dengan membagi dua tipe kecurangan: kecurangan
laporan keuangan dan penyalahgunaan asset. Segitiga kecurangan yang menggambarkan
aspek umum dari seluruh kecurangan, yaitu:
1. Kesempatan
untuk melakukan kecurangan.
2. Insentive
atau tekanan
3. Kemampuan
untuk merasionalisasi kecurangan menjadi konsisten dengan nilai kepantasan
internal.
Pada tahap awal audit, tim audit menyewa dalam sesi
brainstorming untuk memastikan setiap orang dalam tim audit menyadari
faktor-faktor potensi resiko yang dapat meningkatkan resiko kecurangan. Contoh
umum kecurangan laporan keuangan mengakibatkan penadapatan yang lebih besar
dari sebenarnya. Pertama, kecurangan laporan keuangan biasanya mengakibatkan
beberapa level manajemen mengesampingkan pengendalian internal (pengendalian
resiko) yang memperbolehkan kesempatan untuk manajer akuntansi salah menyatakan
pendapatan. Kedua, hal itu biasanya mengakibatkan dorongan dalam bonus atau
tekanan yang signifikan dari menajer senior untuk terget pendapatan (resiko
bawaan).
Sama halnya, penyalahgunakan asset menyebabkan faktor kecurangan umum yang sama. Biasanya penyahgunaan asset berhubungan dengan kesempatan yang diciptakan oleh pemisahan kemiskinan dari kewajiban dan kemiskinan atau pengendalian internal yang tidak efektif (resiko pengendalian tinggi).
Sama halnya, penyalahgunakan asset menyebabkan faktor kecurangan umum yang sama. Biasanya penyahgunaan asset berhubungan dengan kesempatan yang diciptakan oleh pemisahan kemiskinan dari kewajiban dan kemiskinan atau pengendalian internal yang tidak efektif (resiko pengendalian tinggi).
Mengembangkan
strategi audit pendahuluan
Auditor kadang membuat keputusan pendahuluan tentang
komponen model resiko audit dan mengembangkan strategi pendahhuluan untuk
mengumpulkan bukti-bukti. Audit sekarang ini, auditor mengawali audit dengan
pengalaman sebelumnya pada suatu entitas. Setelah memperbaharui pengetahuan
perubahan dalam entitas dan lingkungan, dan menjalankan sedikit prosedur
rencana audit awal, auditor mungkin harus memulai untuk mengembangkan harapan
apakah pengendalian internal melanjutkan untuk berfungsi sesuai diharapkan, dan
apakah faktor lain tetap yang mengkun mengindikasikan potensi kesalahan
pelaporan. Auditor kadang mengembangkan strategi audit awal untuk mengaudit
asersi.
Memahami
pengendalian internal
Auditor diharuskan mendapatkan pemahaman sistem
entitas dari pengendalian internal di setiap audit. Auditor menggunakan
pemahaman ini untuk:
1. Mengidentifikasi
jenis-jenis potensi kesalahan pelaporan.
2. Mempertimbangan
faktor-faktor efek resiko meterialitas kesalahan pelaporan.
3. Mendesain
bawaan, pemilihan waktu dan luasnya prosedur audit lanjutan.
Pertama, auditor menggunakan pemahaman pengendalian
internal untuk mengidentifikasi tipe potensi kesalahan pelaporan yang mungkin
terjadi. Contohnya, meninjau sistem pendapatan gereja yang memberikan
kontribusi kas yang signifikan. Bawaan penerimaan entitas menciptakan urusan
diatas kelengkapan penerimaan. Kedua, auditor biasanya paham bagaimana sistem
pengendalian internal akan mencegah, atau mendeteksi dan mengoreksi, potensi
kesalahan pelaporan untuk asersi tiap laporan keuangan. Sistem yang kuat dari
pengendalian internal mengurangi potensial kesalahan pelaporan laporan
keuangan.
Terakhir, auditor menggunakan pemanaman sistem pengendalian internal untuk mendesain prosedur audit lanjutan untuk mengumpulkan bukti. Contohnya, dokumentasi atau jejak audit elektronik adalah bagian pengendalian internal. Ini penting untuk memahami sitem ini guna mengidentifikasi bukti yang tepat untuk menguji asersi laporan keuangan.
Terakhir, auditor menggunakan pemanaman sistem pengendalian internal untuk mendesain prosedur audit lanjutan untuk mengumpulkan bukti. Contohnya, dokumentasi atau jejak audit elektronik adalah bagian pengendalian internal. Ini penting untuk memahami sitem ini guna mengidentifikasi bukti yang tepat untuk menguji asersi laporan keuangan.
Hubungan faktor resiko dengan potensi kesalahan
pelaporan laporan keuangan
Awalnya, auditor harus menghubungkan faktor resiko yang teridentifikasi selama menalankan prosedur penaksiran resiko yang berpotensi pada kesalahan pelaporan pada laporan keuangan. Contohnya, auditor harus memahami apakah kesalahan pelaporan seperti pada penualan dan penerimaan, atau inventori, atau pada akuntasi untuk harta tetap. Auditor juga harus memahami apakah faktor, seperti kelemahan sistem pengendalian internal, apakah masa sekarang akan memberikan efek pada laporan keuangan.
Awalnya, auditor harus menghubungkan faktor resiko yang teridentifikasi selama menalankan prosedur penaksiran resiko yang berpotensi pada kesalahan pelaporan pada laporan keuangan. Contohnya, auditor harus memahami apakah kesalahan pelaporan seperti pada penualan dan penerimaan, atau inventori, atau pada akuntasi untuk harta tetap. Auditor juga harus memahami apakah faktor, seperti kelemahan sistem pengendalian internal, apakah masa sekarang akan memberikan efek pada laporan keuangan.
Menentukan
Besarnya Potensi Kesalahan
Ketika menaksir resiko bawaan dan pengendalian pada
suatu audit klien, auditor harus menentukan besarnya potensi kesalahan yang
dihubungkan pada faktor-faktor resiko. Contohnya dalam bisnis untuk
mengimplementasi sistem pengendalian internal digunakan pertimbangan biaya dan
manfaat dan dalam dunia bisnis beranggapan biaya yang dikeluarkan untuk
pengendalian kesalahan kecil lebih besar dari manfaatnya. Auditor perlu
membedakan antara faktor resiko yang dihubugkan dengan kesalahan yang
berpotensi dapat di agregasi kepada jumlah yang material. Contohnya sama
seperti persoalan pengakuan pendapatan akan mempunyai pengaruh potensi yang
besar kepada laporan keuangan daripada biaya dibayar dimuka. Selanjutnya,
penilaian inventori lebih signifikan perusahaan kertas daripada hotel/bank.
Menentukan
Kemungkinan Kesalahan Material
Disamping memeriksa besarnya resiko potensial, auditor
juga butuh menentukan kemungkinan resiko itu akan menghasilkan kesalahan
material pada laporan keuangan. Adalah tugas auditor untuk mengidentifikasi
faktor-faktor resiko yang dihubungkan dengan resiko bawaan yang tinggi dimana
kemungkinan kesalahan material dapat dikurangi oleh system pengendalian
internal klien. Dalam membuat penaksiran ini auditor terdiri dari resiko bawaan
dan resiko pengendalian. Contohnya perusahaan konstruksi mungkin memiliki
resiko bawaan yang tinggi sampai kompleksitas estimasi kontrak konstruksi
jangka panjang. Beberapa perusahaan konsturksi ukuran sedang juga memiliki
pengendalian internal yang lemah. Hasilnya auditor membutuhkan untuk mendesain
kecukupan dan kemampuan prosedur audit untuk mrndeteksi kesalahan material.
Menentukan
Tingkat Signifikansi Resiko Bawaan
Dalam GAAS auditor harus menentukan mana yang
diidentifikasi sebagai resiko dalam pernyataan auditor, signifikan resiko bawaan
yang membutuhkan pertimbangan pemeriksaan special. Dalam fase audit
selanjutnya, tanggapan dalam penaksiran audit, auditor mengharuskan untuk
memberikan perhatian kepada fakta yang beresiko diidentifikasi ebagai resiko
bawaaan yang signifikan. Dalam megidentifikasi resiko bawaan signifikan auditor
mempertimbangkan masalah-masalah seperti:
·
Apakah resiko itu adalah resiko kecurangan. Contohnya:
resiko bawaan signifikan mugkin diindikasi jika auditor merasakan 3 elemen
triangle fraud terjadi.
·
Apakah resiko itu berhubungan dengan kejadian ekonomi
di masa sekarang, akuntansi atau perkembangan lain yang membutuhkan perhatian
spesial.
·
Kompleksitas transaksi yang dapat memberikan kenaikan
resiko.
·
Apakah resiko meliputi transaksi signifikan
dihubungkan dengan bagian-bagian.
·
Tingkat subjektifitas dalam pengukuran informasi
keuangan dihubungkan dengan resiko.
·
Apakah resiko meliputi transaksi non rutin yang
signifikan transaksi non rutin adalah transaksi yang tidak biasa, dapat dilihat
dari ukuran/besarnya dan kebiasaan dan jarang terjadi.
·
Apakah resiko meliputi masalah keputusan.
·
Resiko bisnis signifikan seringkali adalah resiko
bawaan signifikan.
Waktu
Pengujian Audit
Auditor kadang memilih memodifikasi waktu pengujian
audit dengan memilih tes performa pengendalian atau substantif tes saat tanggal
sementara. Jika pengedalian internal ditemukan menjadi efektif untuk merespon
masalah hanya jika tes relean dengan resiko yang tidak dapat diterima pada
kesimpulan auditor dari sampel yang mungkin berbeda dari konklusi yang didapat
jika seluruh populasi menjadi subjek pada prosedur audit yang sama.
Tanggapan
Pada Resiko Bawaan Yang Signifikan
Resiko bawaan yang signifikan timbul dalam kebayakan
audit dan berkisar dari beresiko hasil kesalahan material dari resiko bisnis
klien sampai transaksi non rutin atau transaksi komplek sampai resiko penilaian
tinggi dari audit. Pertama, auditor harus mengevaluasi efektifitas dari desain
pengendalian internal dihubungkan kepada seluruh resiko bawaan signifikan.
Kedua, jika banana audit pada pengumpulan bukti dari tes pengendalian sampai
mengurangi resiko bawaan signifikan, auditor harus menguji efektifitas operasi
dari pengendalian relevan di periode audit sekarang. Ketiga, auditor harus
melakukan pengujian substantif yang dapat merespon resiko bawaan signifikan.
Tujuan audit SIA adalah untuk meninjau dan
mengevaluasi pengendalian internal yang melindungi sistem tersebut.
- Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
- Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
- Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
- Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap
- Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
- File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
Referensi:
http://darmansyah.weblog.esaunggul.ac.id/2013/09/21/audit-sistem-informasi-dan-tujuannya/