Audit
sistem informasi
Audit Sistem Informasi merupakan
proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem
komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu
menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara
efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber,
2000). Pengertian ini selaras dengan tujuan audit mutu internal dalam ISO
9001:2000. Audit Sistem Informasi sendiri merupakan gabungan dari berbagai
macam ilmu antara lain, Traditional Audit, Manajemen Sistem Informasi, Sistem
Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Pada
dasarnya Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian
Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan
pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem
komputer dan sekaligus meyakinkan integritas program atau aplikasi yang
diguna-kan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian
aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam
aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas
output yang dihasilkan.
Dalam audit terhadap aplikasi,
biasanya pemeriksaan atas pengendalian umum juga dilakukan mengingat
pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian
aplikasi.
Dalam praktiknya, tahapan-tahapan
dalam audit system informasi tidak berbeda dengan audit pada umumnya. Tahapan
perencanaan sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor
mengenal benar objek yang akan diperiksa. Di samping tentunya auditor dapat
memastikan bahwa qualified resources sudah dimiliki dalam hal ini aspek SDM
yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices
). Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain
sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien. dan
dilakukan oleh orang-orang yang kompeten serta dapat diselesaikan dalam waktu
sesuai yang disepakati.
Dalam pelaksanaannya, auditor sistem
informasi mengumpulkan bukti-bukti yang memadai melalui berbagai teknik
termasuk survei, interview, observasi dan review dokumentasi (termasuk review
source code bila diperlukan).
Satu hal yang unik, bukti-bukti
audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data
dalam bentuk file softcopy). Biasanya, auditor system informasi menerapkan
teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided
Auditing Technique). Teknik ini digunakan untuk menganalisa data misalnya saja
data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas
nasabah, dan lain-lain.
Sesuai dengan standar auditing ISACA
(Information Systems Audit and Control Association), selain melakukan pekerjaan
lapangan auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan,
sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus
menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan
batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan,
kesimpulan, rekomendasi sebagaimana layaknya laporan audit pada umumnya
Audit teknologi informasi adalah
bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi
secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama
dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan
evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit
pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum
merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi
dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit
komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi
perusahaan itu telah bekerja secara efektif dan integratif dalam mencapai
target organisasinya.
Faktor-faktor
yang harus diperhatikan dalam melaksanakan audit
•
Dalam melaksanakan audit faktor-faktor
berikut harus diperhatikan:
•
Dibutuhkan informasi yang dapat diukur dan
sejumlah kriteria (standar) yang dapat digunakan sebagai panduan untuk
mengevaluasi informasi tersebut,
•
Penetapan entitas ekonomi dan periode
waktu yang diaudit harus jelas untuk menentukan lingkup tanggungjawab auditor,
•
Bahan bukti harus diperoleh dalam jumlah
dan kualitas yang cukup untuk memenuhi tujuan audit,
•
Kemampuan auditor memahami kriteria yang
digunakan serta sikap independen dalam mengumpulkan bahan bukti yang diperlukan
untuk mendukung kesimpulan yang akan diambilnya.
Jenis
Audit
¢ System
Audit
— Audit
terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional
atau internasional
¢ Compliance
Audit
— Untuk
menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur
hukum yang lain
¢ Product
/ Service Audit
— Untuk
menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan
dan cocok digunakan
Tujuan audit operasional adalah untuk :
•
Menilai
kinerja, kinerja dibandingkan dengan kebijakan-kebijakan, standar-standar, dan
sasaran-sasaran yang ditetapkan oleh manajemen
•
Mengidentifikasikan peluang dan
•
Memberikan rekomendasi untuk perbaikan
atau tindakan lebih lanjut. Pihak-pihak yang mungkin meminta dilakukannya audit
operasional adalah manajemen dan pihak ketiga. Hasil audit operasional
diserahkan kepada pihak yang meminta dilaksanakannya audit tersebut.
Keuntungan Audit
¢ Menilai
keefektifan aktivitas aktifitas dokumentasi dalam organisasi
¢ Memonitor
kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan
¢ Mengukur
tingkat efektifitas dari sistem
¢ Mengidentifikasi
kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang
¢ Menyediakan
informasi untuk proses peningkatan
¢ Meningkatkan
saling memahami antar departemen dan antar individu
¢ Melaporkan
hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen
Ketrampilan
yang dibutuhkan
•
Audit skill : sampling, komunikasi,
melakukan interview, mengajukan pertanyaan, mencatat
•
Generic knowledge : pengetahuan mengenai
prinsip2 audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi,
organisasi, peraturan2 yang berlaku
•
Specific knowledge : background IT/IS,
bisnis, specialist technical skill, pengalaman audit sistem manajemen,
perundangan
Prinsip-prinsip Audit
•
Ethical conduct
▫
Berdasar pada profesionalisme,
kejujuran, integritas, kerahasiaan dan kebijaksanaan
•
Fair Presentation
▫
Kewajiban melaporkan secara jujur dan
akurat
•
Due professional care
▫
Implementasi dari kesungguhan dan
pertimbangan yang diberikan
•
Independence
•
Evidence-base approach
Output kegiatan Audit
Hasil
akhir adalah berupa laporan yang berisi:
•
Ruang Lingkup audit
•
Metodologi
•
Temuan-temuan
•
Ketidaksesuaian (sifat ketidaksesuaian,
bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian)
•
Kesimpulan (tingkat kesesuaian dengan
kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem
manajemen, rekomendasi)
