Audit Sistem Informasi dan
Prosedur
Istilah EDP-Audit (electronic
data processing audit), atau computer audit, kini lebih sering disebut dengan
audit sistem informasi (information systems audit). Pada awalnya EDP audit
dilakukan hanya dalam rangka audit laporan keuangan.
Dalam perkembangannya kemudian, karena pentingnya dan makin besarnya investasi dalam TI. Organisasi perusahaan makin merasakan perlunya audit operasional terhadap fungsi TI-nya. Maka secara umum audit sistem informasi dimaksudkan untuk mengavaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis (bisnis processes) perusahaan (atau kebutuhan pengguna, user needs), untuk mengetahui apakah suatu sistem informasi telah didesain dan diimpilmentasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai.
Dalam perkembangannya kemudian, karena pentingnya dan makin besarnya investasi dalam TI. Organisasi perusahaan makin merasakan perlunya audit operasional terhadap fungsi TI-nya. Maka secara umum audit sistem informasi dimaksudkan untuk mengavaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis (bisnis processes) perusahaan (atau kebutuhan pengguna, user needs), untuk mengetahui apakah suatu sistem informasi telah didesain dan diimpilmentasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai.
Audit SI berbasis teknologi
informasi dapat digolongkan dalam tipe atau jenis-jenis pemeriksaan:
a) Audit laporan keuangan (general
audit on financial)
Dalam hal ini audit terhadap
aspek-aspek teknologi informasi pada suatu sistem informasi. akuntansi berbasis
teknologi informasi adalah dilaksanakan dalam rangka audit keuangan.
b) Audit sistem informasi (SI)
sebagai kegiatan tersendiri, terpisah dari pada keuangan. Sebetulnya audit SI
pada hakekatnya salah satu dari bentuk audit operasional, tetapi kini lebih
dikenal sebagai satu satuan jenis audit tersendiri yang tujuan utamanya lebih
untuk meningkatkan IT governance.
Makin Perlunya Audit TI
Audit TI sangat diperlukan
karena akuntan yang melakukan audit laporan keuangan harus memahami dan menguji
sistem dan pengendalian internnya, dan dalam rangka memeriksa data akuntansi
(substantine test). Selain alasan tersebut, audit TI makin diperlukan
sehubungan dengan resiko yang semakin tinggi di bidang sistem berbasis
teknologi informasi, yaitu antara lain:
· Resiko penggunaan teknologi
secara tidak layak (tidak tepat)
· Kesalahan berantai atau
pengulangan kesalahan secara cepat konsistem pada sistem berbasis komputer
· Logika pengolahan salah (dapat menyebabkan kesalahan-kesalahan serius).
· Ketidakmampuan menterjemahkan
kebutuhan (sistem tidak sesuai).
· Konsentrasi tanggungjawab,
antara lain konsentrasi data pada satu lokasi atau orang-orang TI (khususnya
database administrator).
· Kerusakan sistem komunikasi
yang dapat berakibat pada proses atau data.
· Data input atau informasi bisa
saja tidak akurat, kurang mutakhir, palsu.
· Ketidakmampuan mengendalikan
teknologi.
· Praktek pengamanan sistem
informasi yang tidak efektif, kurang memadai atau bahkan mungkin tidak
direncanakan dengan baik.
· Penyalahgunaan atau kesalahan
pengoperasian atau penggunaan data.
· Akses sistem yang tidak
terkendali.
Audit Laporan Keuangan
Audit laporan keuangan (general
audit on financial statement audit) ini dilakukan untuk mengetahui tingkat
kewajaran laporan keuangan yang disajikan oleh perusahaan (sesuai dengan
standar akuntansi keuangan dan tidak ada salah saji materialistis). Audit ini
termasuk general audit. Apabila sistem akuntansi perusahaan merupakan sistem
berbasis komputer/teknologi informasi, maka perlu dilakukan audit terhadap
sistem aplikasi (komputerisasi) akuntansi tersebut atau komponen teknologi informasi
(hardware, software, netware, infrastructures, dan bahkan dataware atau data
yang ada di database dari sistem informasi akuntansi tersebut. Pemeriksaan TI
khususnya untuk memahami/menguji struktur pengendalian intern klien
(sebagaimana diwajibkan dalam standar pemeriksaan akuntan publik) dan dalam
rangka pengujian substantif (atas transaksi serta terhadap saldo akun).
Pemeriksaan/audit laporan
keuangan terdiri dari dua tahap, yaitu (a) audit pengendalian (test of
controls), yaitu memriksa apakah proses dan program komputer sudah betul,
memerikasa apakah pengendalian sistem memadai, dan apakah pengendalian aplikasi
sudah cukup baik. Sedangkan pemeriksaan tahap berikutnya (b) adalah audit
terhadap data substantif untuk mengakses data akuntansi yang ada di dalam
file/media komputer, misalnya yaitu penjualan, nilai piutang, dan sebagainya.
Audit Arround the Computer
Dalam pendekatan audit di
sekitar komputer, auditor (dalam hal ini harus akuntan yang registered, dan
bersertifikasi akuntan publik) dapat mengambil kesimpulan dan merumuskan opini
dengan hanya menelaah struktur pengendalian dan melaksanakan pengujian
transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada
sistem akuntansi manual.
Kunci pendekatan audit ini
ialah pada penelusuran transaksi terpilih mulai dari dokumen sumber sampai ke
bagan-perkiraan (akun) dan laporannya. Keunggulan metode audit di sekitar
komputer adalah:
· Pelaksanaan audit lebih
sederhana.
· Auditor yang memiliki
pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk
melaksanakan audit.
Kelemahannya adalah jika
kondisi (user requirements) berubah, mungkin sistem itupun perlu diredesain dan
perlu penyesuaian (update) program-program, bahkan mungkin struktur data/file,
sehingga auditor perlu menilai/menelaah ulang apakah sistem masih berjalan
dengan baik.
Audit Through the Computer
Dalam pendekatan audit ke
sistem komputer (audit through the computer) auditor melakukan pemeriksaan
langsung terhadap program-program dan file-file komputer pada audit SI berbasis
TI. Auditor menggunakan komputer (software) atau dengan cek logika atau listing
program (desk test on logic or programs source code) untuk menguji logika
program dalam rangka prngujian pengendalianyang ada pada komputer. Selain itu
auditor juga dapat meminta penjelasan dari para teknisi komputer mengenai
spefikasi sistem dan/atau program yang diaudit.
Keunggulan pendekatan audit
dengan pemeriksaan sistem komputerisasi, ialah:
(a) Auditor memperoleh kemampuan yang besar dan efektif dalam
melakukan pengujian terhadap sistem komputer.
(b) Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.
(c) Auditor dapat menilai kemampuan sistem komputer tersebut untuk
menghadapi perubahan lingkungan.
Sebetulnya mungkin tidak dapat
dikatakan sebagai suatu kelemahan dalam pendekatan audit ini, namun jelas bahwa
audit through the computer memerlukan tenaga ahli auditor yang terampil dalam
pengetahuan teknologi informasi dan mungkin perlu biaya yang besar pula.
Audit with the Computer
Audit dengan komputer untuk
kegiatan pendukung dan administrasi paling sering digunakan, bahkan meskipun
sistem klien yang diaudit telah berbasis komputer. Selain untuk kegiatan
administratif, penyusunan program audit dan kuesioner serta pencatatan-pencatatan
dan pelaporan hasil audit, komputer biasanya juga digunakan oleh auditor atau
pegawai perusahaan klien untuk melakukan analisis atau pengikgtisaran,
pembuatan grafik dan tabel-tabel tentang hasil audit, sertapemaparan atau
presentasi hasil audit (misalnya dengan Microsoft Word, PowerPoint, dan Excel).
Prosedur Audit Keuangan (TI)
a) Perencanaan audit (Audit
Planning)
Langkah pertama dalam
perencanaa audit adalah untuk menetapkan ruang lingkup dan tujuan pemeriksaan.
Pada audit laoran keuangan, pemeriksaan dilakukan oleh editor (akuntan) ekstern
dan independen terhadap laporan keuangan perusahaan, ditujukan kepada para pemegang
saham pihak lain terkait. Tujuan audit untuk menilai kelayakan atau kewajaran
(fairness) laporan keuangan yang disajikan oleh perusahaan.
b) Pemahaman sistem dan struktur
pengendalian internnya
Pada tahap ini yang dilakukan
adalah pemahaman terhadap sasaran yang akan ddiaudit, pengumpulan informasi
awal, dan identifikasi resiko, antara lain:
· Pemahaman sistem informasi
untuk pelaksanaan transaksi
· Penentuan kemungkinan salah
saji dalam tiap tahap pelaksanaan transaksi
· Penentuan aktivitas
pengendalaian untuk deteksi salah saji
· Penentuan prosedur audit untuk
deteksi efektivitas aktiviasi pengendalian
· Penyusunan program audit
pengendalian
c) Pengumpulan bukti audit
Bukti audit dikumpulkan dengan
sejumlah instrumen audit, pengujian, dan prosedur yang bermacam-macam
d) Evaluasi bukti pemeriksaan
Setelah bukti-bukti audit
dikumpulkan, auditor mengevaluasi bukti audit tersebut sesuai dengan tujuan
dari audit dan kemudian:
· Dilakukan tests of controls
yang bertujuan untuk mengetahui apakah pengendalian yang ada telah dilakukan
dengan prosedur yang telah ditetapkan.
· Dilakukan substantive test,
yang terdiri dari:
a. Tests of transactions yang
bertujuan untuk mengevaluasi apakah terdapat kekeliruan atau kesalahan
b. Tests of balances or overall
results yang bertujuan untuk menjamin laporan keuangan yang dihasilkan adalah
benar dan akurat
e) Komunikasi hasil pemeriksaan
Segera setelah pekerjaan
pemeriksaan diselesaikan dan diperoleh kesimpulan pendapat auditor, perlu
disiapkan laporan hasil audit mengenai temuan-temuan dan
rekomendasi-rekomendasinya. Dalam penyelesaian audit (completion of the audit)
dibuat kesimpulan dan rekomendasi untuk dikomunikasikan pada manajemen.
Tujuan Audit SI
a) Pengamanan aset
Aset informasi suatu perusahaan
seperti perangkat keras (hardware), perangkat lunak (software), sumber daya
manusia, dan data harus dijaga dengan sistem pengendalian intern yang baik agar
tidak ada penyalahgunaan aset perusahaan.
b) Efektifitas sistem
Efektifitas sistem informasi
perusahaan memiliki peranan penting dalam proses pengmbilan keputusan. Suatu
sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah
dirancang dengan benar (doing the right thing), telah sesuai dengan kebutuhan
user. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi dengan baik.
c) Efisiensi sistem
Efisiensi menjadi sangat
penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem
aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah
efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu
sistem dapat dikatakan efisien jika sistem informasi dapat memnuhi kebutuhan
user dengan sumber daya informasi yang minimal. Cara kerja sistem benar (doing
thing right).
d) Ketersediaan (Availability)
Berhubungan dengan ketersediaan
dukungan/layanan teknologi informasi (TI). TI hendaknya dapat mendukung secara
kontinyu terhadap proses bisnis kegiatan perusahaan. Makin sering terjadi
gangguan (system down) maka berarti tingkat ketersediaan sistem rendah.
e) Kerahasiaaan (Confidentiality)
Fokusnya ialah pada proteksi
terhadap informasi dan supaya terlindungi dari akses dari pihak yang idak
berwenang.
f) Kehandalan (Realibility)
Berhubungan dengan kesesuaian
dan kekuratan bagi manajemen dalam pengolahan organisasi, pelaporan dan
pertanggungjawaban.
g) Menjaga integritas data
Integritas data (data
integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki
atribut-atribut seperti kelengkapan kebenaran dan keakuratan.
Perlunya kontrol dan audit
Faktor-faktor yang mendorong
pentingnya kontrol dan audit SI adalah antara lain untuk:
a) Mendeteksi agar komputer tidak
dikelola secara kurang terarah
b) Mendeteksi resiko pengambilan
keputusan yang salah akibat informasi hasil proses sistem komputerisasi
salah/lambat/tidak lengkap
c) Menjaga aset perusahaan karena
nilai hardware, software dan dan personil lazimnya tinggi
d) Mendeteksi resiko error
komputer
e) Mendeteksi resiko
penyalahgunaan komputer (fraud)
f) Menjaga kerahasiaan
g) Meningkatkan pengendalian
evolusi penggunaan komputer
Tahapan Audit
a) Subjek Audit
Tentukan/identifkasi
unit/lokasi yang diaudit
b) Sasaran audit
Tentukan sistem secra spesifik,
fungsi atau unit orgainisasi yang akan diperiksa
c) Jangkauan audit
Identifikasi sistem secara
spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan.
d) Rencana pre-audit
1. Identifikasi kebutuhan keahlian
teknik dan sumber daya yang diperlukan untuk audit
2. Identifikasi sumber bukti untuk
tes atau review seperti fungsi flowchart, kebijakan, standard prosedur dan
kertas kerja audit sebelumnya.
e) Prosedur audit dan
langka-langkah pengumpulann bukti audit
1. Identifikasi dan pilih
pendekatan audit untuk memeriksa dan menguji pengendalian intern
2. Identifikasi daftar individu
untuk interview
3. Identifikasi dan menghasilkan
kebijakan yang berhubungan dengan bagian, standar dan pedoman untuk interview
4. Mengembangakn instrumen audit
dan metodologi pengujian dan pemeriksaan kontrol internal
f) Prosedur untuk evaluasi
1. Organisasikan sesuai kondisi
dan situasi
2. Identifikasi prosedur evaluasi
atas tes efektifitas dan efisiensi sistem, evaluasi kekuatan dari dokumen,
kebijakan dan prosedur yang diaudit
g) Laporan hasil audit
Siapkan laporan yang objektif,
konsteuktif (bersifat membangun) dan menampung penjelasan audit.
Pendekatan Audit Berbasis
Resiko
a) Mengumpulkan rencana dan
informasi
Pemahaman proses bisnis,
pengendalian resiko, hasil audit tahun sebelumnya, penaksiran resiko bawaan,
dan informasi terkhir
b) Mendapatkan pengertian internal
control
Pahami lingkungan pengendalian,
penakisran resiko, kontrol internal yang sudah ada, penaksiran resiko deteksi
c) Melakukan tes ketaatan
Pengujian pelaksanaan kebijakan
dan prosedur, pemisahan tugas dan fungsi, dan sebagainya
d) Melakukan test substantif
Prosedur analitis, kebijakan
audit substantif lainnya, pengujian atas keandalan dan keseimbangan laporan
unit operasional (departemen)
e) Menyelesaikan audit
Menyusun temuan/rekomendasi,
menyampaikan laporan hasil audit.
Teknik Penaksiran Resiko
Ada beberapametode untuk
melakukan penilaian resiko, yaitu:
a) Pendekatan penaksiran dengan
sistem scoring sistem
Pendekatan ini digunakan dengan
mengutamakan audit berdasarkan pada evaluasi faktor-faktor resiko
b) Penilaian resiko secara
judgetmental
Yaitu keputusan dibuat
berdasarkan pengetahuan bisnis, instruksi manajemen eksekutif, sejarah
kehilangan, tujuan bisnis dan faktor-faktor lingkungan.
c) Teknik kombinasi.
Tidak ada komentar:
Posting Komentar