- Audit Sistem Informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000). Pengertian ini selaras dengan tujuan audit mutu internal dalam ISO 9001:2000. Audit Sistem Informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
- Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang diguna-kan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.
- Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.
- Dalam praktiknya, tahapan-tahapan dalam audit system informasi tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilaku-kan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ). Tahapan perencanaan ini akan menghasilkan suatu pro-gram audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat dise-lesaikan dalam waktu sesuai yang disepakati.
- Dalam pelaksanaannya, auditor system informasi mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan).
- Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy). Biasanya, auditor system informasi menerapkan teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
- Sesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya lapor-an audit pada umumnya
- Teknologi Informasi Auditing
- Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
KONSEP-KONSEP PDE AUDITING
Istilah PDE auditing umumnya digunakan untuk menerangkan 2 jenis aktivitas yang berhubungan dengan computer, yaitu :
· Auditing melalui computer ( Auditing through the computer )
Untuk menerangkan proses penelaahan dan evaluasi pengendalian intern dalam suatu system pemrosesan data elektronik, biasanya dilakukan oleh auditor selama pengujian ketaatan ( compliance test )
· Auditing dengan computer ( Auditing with the computer )
Untuk menerangkan pemanfaatan computer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dilakukan secara manual
Kebanyakan audit meliputi pengujian ketaatan dan pengujian substantif. Kedua jenis PDE auditing ini dilakukan baik oleh auditor intern maupun ekstern.
STRUKTUR AUDIT LAPORAN KEUANGAN
Tujuan dan tanggungjawab utama auditor :
1. Auditor ekstern : Menilai kewajaran laporan keuangan suatu perusahaan, melayani para pemegang saham, pemerintah, dan masyarakat luas
2. Auditor intern : Melayani kebutuhan manajemen perusahaan, hasil pekerjaannya juga akan menjadi bahan untuk penelaahan dan pekerjaan auditor ekstern pada saat mereka mengaudit laporan keuangan perusahaan
Audit secara umum dubagi menjadi 2 komponen dasar :
· Audit interim : Menetapkan tingkat keandalan system pengendalian intern, biasanya diperlukan Pengujian Ketaatan untuk melihat eksistensi, efektivitas, dan pengecekan kontinuitas kegiatan yang mengandalkan system pengendalian intern
· Audit laporan keuangan : Verifikasi langsung terhadap angka-angka laporan keuangan, berdasarkan hasil pengujian pengendalian intern dalam audit interim yang merupakan Pengujian Substantif
AUDITING di SEPUTAR KOMPUTER
Secara umum, system akuntansi mencakup masukan, pemrosesan, dan keluaran. Dalam pendekatan ini pemrosesan diabaikan, selain itu dokumen-dokumen sumber untuk masukan ke system dipilih dan diikhtisarkan secara manual sehingga tidak dapat dibandingkan dengan keluara. Setelah batch-batchdiproses dalam system, total akan diakumulasikan untuk menyajikan catatan yang diterima dan ditolak, koreksi-koreksinya, dan penyampaian ulangnya.
Pada perkembangan PDE selanjutnya, pendekatan ini tidak banyak digunakan, secara implicit mengasumsikan bahwa kompter tidak dapat digunakan untuk mengubah catatan tanpa terdeteksi oleh prosedur-prosedur manual.
AUDITING MELALUI KOMPUTER
Audit PDE untuk verifikasi ketaatan pengendalian intern dilakukan oleh auditor intern dan ekstern. Tujuan auditor ekstern biasanya diarahkan untuk atestasi laporan keuangan. Sedangkan auditor Intern melakukan audit ketaatan untuk memenuhi kebutuhan manajemen atau kebutuhan tertentu lainnya dalam perusahaan
AUDITING dengan KOMPUTER
Auditing dengan computer merupakan proses penggunaan teknologi informasi dalam auditing. Teknologi informasi digunakan untuk melaksanakan sejumlah pekerjaan audit yang dapat dilaksanakan pula secara manual. Penggunaan teknologi informasi penting untuk meningkatkan efektivitas dan efisiensi auditing.
Manfaat potensial penggunaan teknologi system informasi dalam audit meliputi :
1. Kertas kerja yang dihasilkan computer umumnya lebih mudah dibaca dan lebih konsisten. Kertas kerja semacam itu lebih mudah disimpan, diakses, dan direvisi.
2. Waktu dapat dihemat dengan mengeliminasi penghitungan. Penghitungan-silang, dan kalkulasi penghitungan lainnya.
3. Kalkulasi, pembandingan, dan manipulasi data lainnya akan menjadi lebih akurat.
4. Kalkulasi telaah analitis akan lebih efisien, dan lingkupnya dapat diperluas.
5. Informasi proyek seperti anggaran waktu dan pemonitoran waktu actual dan jumlah dianggarkan akan lebih mudah dihasilkan dan dianalisis.
6. Korespondensi audit standar seperti kuesioner dan daftar periksa, surat proposal, dan format-format laporan dapat disimpan dan dimodifikasi secara mudah.
7. Moral dan produktivitas dapat ditingkatkan dengan mengurangi waktu untuk tugas-tugas klerikal.
8. Peningkatan efektivitas biaya dapat diperoleh dengan menggunakan ulang aplikasi-aplikasi audit elektronik untuk audit peristiwa kemudian ( Subsequent audit ).
9. Akan terjadi peningkatan independensi karyawan-karyawan system informasi.
TEKNOLOGI EDP AUDITING
Data Uji
Merupakan masukan yang disajikan auditor yang memuat data yang absah dan tidak absah. Secara historis, data uji merupakan raihan pertama dalam audit melalui komputer. Meskipun tidak praktis memberikan kemampuan untuk memahami logika rinci program komputer bagi auditor, tetapi auditor akan dapat memahami spesifikasi umum dari sistem dan dapat memanfaatkan hal tersebut untuk menentukan apakah sistem bekerja atau tidak.
Simulasi Parallel
Simulasi parallel memproses data uji melalui program-program uji atai program-program audit. Keluaran simulasi dan keluaran nyata dibandingkan untuk tujuan pengendalian. Sebagai contoh, simulasi paralel atas program akuntansi biaya akan dibatasi oleh fungsi-fungsi yang memutakhirkan catatan-catatan barang dalam proses. Fungsi-fungsi lain, seperti penjadwalan atau pelaporan kinerja, tidak akan termasuk dalam program simulasi karena tidak menjadi perhatian langsung dalam audit.
Perangkat Lunak Audit
Perangkat lunak audit mencakup program-program komputer yang memungkinkan komputer digunakan sebagai alat audit. Komputer diprogram untuk dapat membaca, memilih, mengekstrak (menarik), dan memproses data uji petik dari file-file komputer. Terdapat berbagai tingkatan baik dalam lingkungan mainframe maupun mikrokomputer. Perangkat lunak konvensional seperti program-program utilitas sistem, program pemanggilan informasi, atau bahasa-bahasa tingkat tingkat tinggi ( seperti COBOL ) dapat pula digunakan.
Perangkat lunak audit umum ( Generalized Audit Software- GAS)
Perangkat lunak audit umum ( GAS ) adalah perangkat lunak yang di rancang secara khusus untuk mendukung penggunaan teknologi informasi dalam auditing. GAS dirancang secara khusus agar memungkinkan auditor yang memiliki keahlian komputer sedkit, mampu melakukan fungsi-fungsi pemrosesan data yang berkaitan dengan audit.
Perangkat Lunak Mikrokomputer
Perangkat lunak mikrokomputer bertujuan umum seperti perangkat lunak pemrosesan kata dan spreadsheet memiliki banyak aplikasi – aplikasi audit. Selain itu, paket – paket perangkat lunak berorientasi dan bertujuan khusus, telah pula dikembangkan digunakan secara khusus dalam administrasi audit. Perangkat lunak pemrosesan kata dan spreadsheet merupakan jenis-jenis perangkat lunak mikrokomputer yang paling umum digunakan oleh auditor.
Tujuan aplikasi STARA :
1. File master kekayaan berjalan telah dibaca dan seluruh data telah diambil
2. File kerja tahun sebelumnya, kemudian digunakan untuk mencocokan catatan dengan file kerja tahun berjalan.
3. Cetak laporan :
Laporan no 1 tambahan diatas $5000 pada tahun berjalan
Laporan no 2 kekeliruan dalam penyusutan tercatat
Jenis-jenis paket perangkat lunak mikrokomputerberikut ini,kepada staf auditnya untuk digunakan dalam audit:
§ Paket-paket perpajakan
§ Uji petik statistic
§ Translasi mata uang
§ Pembuat nomor-acak
§ Analisis regresi
§ Analisis persediaan
§ Perangkat lunak bagan arus
§ Kertas kerja dan lampiran-lampiran
Kegiatan audit terprogram
Merupakan teknologi audit yang mencakup modifikasi program computer untuk tujuan-tujuan audit. Ini dicapai dengan membentuk suatu kegiatan audit khusus di dalam program produksi regular sehingga data transaksi atau lainnya dapat dianalisis.
Catatan diperluas (extendedrecord)
Berhubungan dengan modifikasi program-program computer untuk menyajikan jejak audit yang komprehensif untuk transaksi-transaksi terpilih dan mengumpulkannya dalam perluasan catatan data tambahan dalam suatu pemrosesan yang tidak normal.
Snapshot
Snapshot,seperti yang diimplikasikan dari namanya, berupaya memberikan gambaran komprehensif dari pekerjaan program pada titik tertentu suatu waktu. Snapshot mencakup penambahan kode program agar program mencetak isi area memori terpilih pada waktu selama pemrosesan kode snapshot dibuat. Ini menghasilkan hasil cetakan operasi program.
Penjejakan
Penjejakan merupakan teknik audit lainnya yang menghasilkan alat bantu program. Penjejakan normalnya dilaksanakan dengan menggunakan pilihan (opsi) dalam bahasa kode sumber program (seperti COBOL). Bahasa tingkat tinggi dijejaki pada tingkat pernyataan sumber ; bahasa tingkat lebih rendah dijejaki pada tingkat yang lebih rinci. Penjejakan memberikan daftar rinci urutan pelaksanaan pernyataan program. Penjejakan dapat menghasilkan ribuan catatan keluaran, dan harus dipelajari jumlah transaksi yang besar yang tidak dijejaki. Untuk tujuan audit, penjejakan dapat digunakan untuk memverifikasi bahwa pengendalian intern dalam program aplikasi dijalankan pada saat program memproses data uji. Penjejakan mengindikasikan bagian-bagian kode program yang tidak dieksekusi, yaitu situasi yang berdampak pada ditemukannya modifikasi tidak tepat atau tidak terotorisasi ke program.
Seluruh teknik kegiatan audit yang ditandai membutuhkan keahlian teknis tingkat tinggi pada saat pertama kali dibuat, dan tingkat pengetahuan yang tinggi untuk menggunakannya secara efektif. Tingkat independensi auditor pada saat pengembangan sistem itu sangat tergantung pada tingkat keahlian teknis yang mereka miliki. Bahkan sekalipun auditor memilikitingkat keahlian teknis yang tinggi, pengembangan tetap membutuhkan kerjasama antara auditor dengan karyawan departemen sistem.
Penelaahan dokumentasi sistem
Penelaahan dokumentasi sistem, seperti deskripsi naratif,bagan arus dan daftar program, barangkali merupakan teknik auditing PDE yang tertua, dan tetap dipergunakan secara luas sampai sekarang. Pendekatan ini khususnya tepat pada saat tahap awal audit yaitu untuk persiapan seleksi dan pemanfaatan atau teknologi audit langsung lainnya.
Auditor dapat juga meminta daftar bahasa sumber program. Daftar-daftar ini dapat ditelaah secara manual oleh auditor. Program-program dapat diperiksa secara manual oleh auditor. Penelaahan program secara lebih memuaskan dapat dilakukan dengan meminta kode obyek, yaitu, versi bahasa-mesin dari program. Penelaahan dokumentasi sistem dengan cara ini akan memberikan jaminan bahwa membutuhkan keahlian teknis dan kesabaran. Auditor dapat memverifikasi hash total kode obyek perangkat lunak untuk mendeteksi modifikasi-modifikasi pada perangkat lunak.
Jenis dokumentasi lainnya yang dapat diperiksa adalah dokumentasi operasi yang dihasilkan oleh banyak sistem komputer sebagai suatu bagian dari operasi. Perangkat lunak yang memonitor kinerja operasi komputer umumnya tersedia dalam sistem besar untuk menyediakan statistik teknis yang bermanfaat meningkatkan efisiensi operasi sistem. Kegiatan akuntansi pekerjaan (job accounting) seringkali merupakan bagian dari sistem operasi komputer. Kegiatan ini mengumpulkan dan mengikhtisarkan statistik yang berkaitan dengan penggunaan sumberdaya program (pekerjaan). Sekali lagi, statistik tersebut penting bagi auditor karena menunjukkan siapa yang menggunakan sistem dan juga kapan dan sumberdaya dan program yang mana yang tercakup dalam sistem.
Bagan Arus Pengendalian
Dokumentasi spesifik untuk tujuan-tujuan audit ditelaah dan dikembangkan untuk menunjukkan hakekat pengendalian aplikasi dalam sistem. Dokumentasi seperti ini disebut bagan arus pengendalian. Bagan arus analitis, bagan arus sistem atau teknis-teknis grafis lainnya digunakan untuk menjelaskan pengendalian dalam sistem. Keuntungan utama bagan arus adalah dapat dipahami oleh auditor, pemakai dan karyawan komputer, sehingga mendukung komunikasi antara pihak-pihak yang berbeda.
Pemetaan
Bahan bukti audit yang lebih langsung berkaitan dengan program dapat diperoleh dengan cara memonitor jalannya program dengan menggunakan paket pengukuran perangkat lunak khusus. Teknik audit seperti ini disebut pemetaan. Perangakat lunak menghitung jumlah kali setiap pelaksanaan pernyataan program dalam suatu program dan memberikan statistik ikhtisar yang berkaitan dengan penggunaan sumberdaya. Pada dasarnya, pemetaan merupakan teknik untuk membantu perencanaan dan pengujian program. Auditor dapat menggunakan perangkat lunak yang sama untuk menentukan apakah pernyataan program tertentu telah dilaksanakan. Pemetaan dapat membantu meyakinkan pernyataan-pernyataan pengendalian aplikasi program yang terdapat dalam daftar bahasa sumber dalam program telah benar-benar dieksekusi pada saat program berjalan, dan tidak diganggu oleh logika tertentu yang tidak terdapat dalam daftar kode sumber dari program. Penghitungan jumlah kali setiap pernyataan program yang telah dilaksanakan tidak mengimplikasikan bahwa program telah dieksekusi secara benar.
Pemetaan dapat digunakan secara efektif sejalan dengan teknik data uji. Eksekusi program dengan data uji sebagai masukan dapat dipetakan. Evaluasi keluaran dari monitor perangkat lunak dapat mengindikasikan seberapa ekstensif masukan menguji pernyataan program individual. Pernyataan-pernyataan yang tidak dieksekusi tidak diuji.
JENIS-JENIS PDE AUDIT
Pendekatan Umum Terhadap PDE Audit
Sebagian besar pendekatan terhadap PDE audit mengikuti tiga tahapan :
1. Telaahan dan evaluasi awal
2. Telaahan dan evaluasi rinci
3. Pengujian
Telaahan dan evaluasi awal
Menentukan tindakan-tindakan yang akan dillakukan dalam audit yang mencakup keputusan-keputusan yang berkaitan dengan area-area tertentuyang di investigasi, penugasan bagi staf audit, teknologi audit yang akan digunakan, dan pembuatan anggaran waktu dan/biaya untuk audit.
Sumber daya audit biasanya terbatas, jadu umumnya tidak mungkin melakukan audit atas setiap aplikasi setiap tahun. Aplikasi-aplikasi yang mengandung kemungkinan penggelapan atau kekelirian-kekeliruan keuangan biasanya menjadi target suatu audit.
Telaahan dan evaluasi rinci
Dalam tahap audit ini, sasaran difokuskanpada temuan-temuan yang dipilih dalam audit.
Pengujian
Tahap pengujian dalam audit menghasilkan bukti ketaatan terhadap prosedur-prosedur.pengujuan dilakukan untuk memberikan jaminan memadai bahwa pengendalian intern ada dan bekerja sesuai dengan yang dinyatakan dalam dokumentasi sistem.
Audit Aplikasi-aplikasi PDE
Pengendalian-pengendalian Aplikasi debagi menjadi tiga area umum, masukan, pemrosesan, pengeluaran. Audit aplikasi-aplikasi PDE umumnya mencakup penelaahanpengendalian dalam tiga area tersebut.
Audit Pengembangan Sistem Aplikasi
Tiga area umumdalam audit yang berkaitan dengan proses pengembangan sistemadalah standar-standar pengembangan sistem, manajemen proyek, dan pengendalian pengubahan program.
Standar-standar pengembangan sistem, merupakan dokumentasi yang menjadi panduan perancangan, pengembangan, dan implementasi sistem aplikasi. Keberadaan standar-standar pengembangan sistem merupakan pengendalian umum utama dalam sistem PDE.
Manajemen proyek, untuk mengukur dan mengendalikan perkembangan selama pengembangan sistem aplikasi. Manajemen proyek meliputi proyek dan penyeliaan proyek. Perencanaan proyekmerupakan pernyataan formal mengenai rencana-rencana kerja rinci dalam proyek. Penyeliaan proyek memonitor pelaksanaan aktifita-aktifitas proyek.
Pengendalian pengubahan program, berkaitan dengan pemeliharaan program-program aplikasi. Tujuan pengendalian-pengendalian tersebut adalah untuk mencegah pengubahan yang tidak sah dan bersifat penggelapan terhada program-program yang telah di uji dan di terima.
Audit atas Pusat layanan Komputer
Audit atsa pusat layanan komputer dilakukan sebelum setiap audit atas aplikasi dilakukan guna meyakinkan integritas umum lingkungan dimana aplikasi akan di fungsikan. Pengendalian-pengendalian umum atas operasi komputer juga memnbantu menjuamin tidak adanya interupsi atas sumberdaya-sumberdaya pusat layanan komputer.
Audit akan dilakukan terhadap beberapa area. Salah satu area berkaitan dengan pengendalian-pengendalian lingkungan. Sistem-sistem mainframe yang berkaitan dengan pusat-pusat layanan komputerbesar umumnya memiliki persyaratan-persyaratan temperatur dan kelmbaban khusus yang membutuhkan penyejuk ruangan. Area lain adalah keamanan secara fisik atas pusat-pusat yang bersangkutan.
Rencana pemulihan bencana di pusat-pusat tanggung jawab harus ditelaah. Rencana pemulihan bencana harus mencakup hal-hal yang berkaitan dengan misalnya pernyataan tanggung jawab manajemen yang menyatakan siapa yang bertanggung jawab atas kejadian bencana, rencana-rencana tindakan darurat, penyediaan fasilitas dan pendukung data, pengendalian-pengendalian proses pemulihan.
Pengendalian-pengendalian manajemen atas operasi pusat layanan komputer juga merupakan area yang diperhatikan. Area ini mencakup teknik-teknik yang digunakan untuk menganggarkan faktor-faktor beban peralatan, statistik pemanfaatan protek, dan persyaratan-persyaratan anggaran dan rencana penetapan staf, dan rencana perolehan peralatan.
Pengujian ketaatan yang akan digunakan dalam seluruh area audit tersebut adalah telaahan atas bukti-bukti tang didokumentasikan; wawancara dengan pemakai, manajemen, dan karyawandepartemen sistem; observasi langsung; dan tanya-jawab.
Tidak ada komentar:
Posting Komentar