Audit Sistem Informasi Dan Procedure
Istilah EDP-Audit (electronic data processing audit), atau computer audit, kini lebih sering disebut dengan audit sistem informasi (information systems audit). Pada awalnya EDP audit dilakukan hanya dalam rangka audit laporan keuangan. Dalam perkembangannya kemudian, karena pentingnya dan makin besarnya investasi dalam TI. Organisasi perusahaan makin merasakan perlunya audit operasional terhadap fungsi TI-nya. Maka secara umum audit sistem informasi dimaksudkan untuk mengavaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis (bisnis processes) perusahaan (atau kebutuhan pengguna, user needs), untuk mengetahui apakah suatu sistem informasi telah didesain dan diimpilmentasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai.
Audit SI berbasis teknologi informasi dapat digolongkan dalam tipe atau jenis-jenis pemeriksaan:
1. Audit laporan keuangan (general audit on financial)
Dalam hal ini audit terhadap aspek-aspek teknologi informasi pada suatu sistem informasi. akuntansi berbasis teknologi informasi adalah dilaksanakan dalam rangka audit keuangan.
2. Audit sistem informasi (SI) sebagai kegiatan tersendiri, terpisah dari pada keuangan. Sebetulnya audit SI pada hakekatnya salah satu dari bentuk audit operasional, tetapi kini lebih dikenal sebagai satu satuan jenis audit tersendiri yang tujuan utamanya lebih untuk meningkatkan IT governance.
Makin Perlunya Audit TI
Audit TI sangat diperlukan karena akuntan yang melakukan audit laporan keuangan harus memahami dan menguji sistem dan pengendalian internnya, dan dalam rangka memeriksa data akuntansi (substantine test). Selain alasan tersebut, audit TI makin diperlukan sehubungan dengan resiko yang semakin tinggi di bidang sistem berbasis teknologi informasi, yaitu antara lain:
1. Resiko penggunaan teknologi secara tidak layak (tidak tepat)
2. Kesalahan berantai atau pengulangan kesalahan secara cepat konsistem pada sistem berbasis computer
3. Logika pengolahan salah (dapat menyebabkan kesalahan-kesalahan serius).
4. Ketidakmampuan menterjemahkan kebutuhan (sistem tidak sesuai).
5. Konsentrasi tanggungjawab, antara lain konsentrasi data pada satu lokasi atau orang-orang TI (khususnya database administrator).
6. Kerusakan sistem komunikasi yang dapat berakibat pada proses atau data.
7. Data input atau informasi bisa saja tidak akurat, kurang mutakhir, palsu.
8. Ketidakmampuan mengendalikan teknologi.
9. Praktek pengamanan sistem informasi yang tidak efektif, kurang memadai atau bahkan mungkin tidak direncanakan dengan baik.
10. Penyalahgunaan atau kesalahan pengoperasian atau penggunaan data.
11. Akses sistem yang tidak terkendali.
Audit Laporan Keuangan
Audit laporan keuangan (general audit on financial statement audit) ini dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (sesuai dengan standar akuntansi keuangan dan tidak ada salah saji materialistis). Audit ini termasuk general audit. Apabila sistem akuntansi perusahaan merupakan sistem berbasis komputer/teknologi informasi, maka perlu dilakukan audit terhadap sistem aplikasi (komputerisasi) akuntansi tersebut atau komponen teknologi informasi (hardware, software, netware, infrastructures, dan bahkan dataware atau data yang ada di database dari sistem informasi akuntansi tersebut. Pemeriksaan TI khususnya untuk memahami/menguji struktur pengendalian intern klien (sebagaimana diwajibkan dalam standar pemeriksaan akuntan publik) dan dalam rangka pengujian substantif (atas transaksi serta terhadap saldo akun).
Pemeriksaan/audit laporan keuangan terdiri dari dua tahap, yaitu (a) audit pengendalian (test of controls), yaitu memriksa apakah proses dan program komputer sudah betul, memerikasa apakah pengendalian sistem memadai, dan apakah pengendalian aplikasi sudah cukup baik. Sedangkan pemeriksaan tahap berikutnya (b) adalah audit terhadap data substantif untuk mengakses data akuntansi yang ada di dalam file/media komputer, misalnya yaitu penjualan, nilai piutang, dan sebagainya.
Audit Arround the Computer
Dalam pendekatan audit di sekitar komputer, auditor (dalam hal ini harus akuntan yang registered, dan bersertifikasi akuntan publik) dapat mengambil kesimpulan dan merumuskan opini dengan hanya menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem akuntansi manual.
Kunci pendekatan audit ini ialah pada penelusuran transaksi terpilih mulai dari dokumen sumber sampai ke bagan-perkiraan (akun) dan laporannya. Keunggulan metode audit di sekitar komputer adalah:
1. Pelaksanaan audit lebih sederhana.
2. Auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.
Kelemahannya adalah jika kondisi (user requirements) berubah, mungkin sistem itupun perlu diredesain dan perlu penyesuaian (update) program-program, bahkan mungkin struktur data/file, sehingga auditor perlu menilai/menelaah ulang apakah sistem masih berjalan dengan baik.
Audit Through the Computer
Dalam pendekatan audit ke sistem komputer (audit through the computer) auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit SI berbasis TI. Auditor menggunakan komputer (software) atau dengan cek logika atau listing program (desk test on logic or programs source code) untuk menguji logika program dalam rangka prngujian pengendalianyang ada pada komputer. Selain itu auditor juga dapat meminta penjelasan dari para teknisi komputer mengenai spefikasi sistem dan/atau program yang diaudit.
Keunggulan pendekatan audit dengan pemeriksaan sistem komputerisasi, ialah:
1. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer.
2. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.
3. Auditor dapat menilai kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan.
Sebetulnya mungkin tidak dapat dikatakan sebagai suatu kelemahan dalam pendekatan audit ini, namun jelas bahwa audit through the computer memerlukan tenaga ahli auditor yang terampil dalam pengetahuan teknologi informasi dan mungkin perlu biaya yang besar pula.
Audit with the Computer
Audit dengan komputer untuk kegiatan pendukung dan administrasi paling sering digunakan, bahkan meskipun sistem klien yang diaudit telah berbasis komputer. Selain untuk kegiatan administratif, penyusunan program audit dan kuesioner serta pencatatan-pencatatan dan pelaporan hasil audit, komputer biasanya juga digunakan oleh auditor atau pegawai perusahaan klien untuk melakukan analisis atau pengikgtisaran, pembuatan grafik dan tabel-tabel tentang hasil audit, sertapemaparan atau presentasi hasil audit (misalnya dengan Microsoft Word, PowerPoint, dan Excel).
Prosedur Audit Keuangan (TI)
1. Perencanaan audit (Audit Planning)
2. Pemahaman sistem dan struktur pengendalian internnya
3. Pengumpulan bukti audit
4. Evaluasi bukti pemeriksaan
5. Komunikasi hasil pemeriksaan
Tujuan Audit SI
1. Pengamanan aset
2. Efektifitas sistem
3. Efisiensi sistem
4. Ketersediaan (Availability)
5. Kerahasiaaan (Confidentiality)
6. Kehandalan (Realibility)
7. Menjaga integritas data
Perlunya kontrol dan audit
Faktor-faktor yang mendorong pentingnya kontrol dan audit SI adalah antara lain untuk:
1. Mendeteksi agar komputer tidak dikelola secara kurang terarah
2. Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi salah/lambat/tidak lengkap
3. Menjaga aset perusahaan karena nilai hardware, software dan dan personil lazimnya tinggi
4. Mendeteksi resiko error computer
5. Mendeteksi resiko penyalahgunaan komputer (fraud)
6. Menjaga kerahasiaan
7. Meningkatkan pengendalian evolusi penggunaan komputer
Tahapan Audit
1. Subjek Audit : Tentukan/identifkasi unit/lokasi yang diaudit
2. Sasaran audit : Tentukan sistem secra spesifik, fungsi atau unit orgainisasi yang akan diperiksa
3. Jangkauan audit : Identifikasi sistem secara spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan.
4. Rencana pre-audit
5. Prosedur audit dan langka-langkah pengumpulann bukti audit
6. Prosedur untuk evaluasi
7. Laporan hasil audit : Siapkan laporan yang objektif, konsteuktif (bersifat membangun) dan menampung penjelasan audit.
Pendekatan Audit Berbasis Resiko
1. Mengumpulkan rencana dan informasi
Pemahaman proses bisnis, pengendalian resiko, hasil audit tahun sebelumnya, penaksiran resiko bawaan, dan informasi terkhir
2. Mendapatkan pengertian internal control
Pahami lingkungan pengendalian, penakisran resiko, kontrol internal yang sudah ada, penaksiran resiko deteksi
3. Melakukan tes ketaatan
Pengujian pelaksanaan kebijakan dan prosedur, pemisahan tugas dan fungsi, dan sebagainya
4. Melakukan test substantive
Prosedur analitis, kebijakan audit substantif lainnya, pengujian atas keandalan dan keseimbangan laporan unit operasional (departemen)
5. Menyelesaikan audit
Menyusun temuan/rekomendasi, menyampaikan laporan hasil audit.
Teknik Penaksiran Resiko
Ada beberapametode untuk melakukan penilaian resiko, yaitu:
1. Pendekatan penaksiran dengan sistem scoring sistem
Pendekatan ini digunakan dengan mengutamakan audit berdasarkan pada evaluasi faktor-faktor resiko
2. Penilaian resiko secara judgetmental
Yaitu keputusan dibuat berdasarkan pengetahuan bisnis, instruksi manajemen eksekutif, sejarah kehilangan, tujuan bisnis dan faktor-faktor lingkungan.
3. Teknik kombinasi.
SIKLUS PENGEMBANGAN SISTEM INFORMASI
Salah satu kunci IT Gevermence dalam pandangan kontrol internal adalah perlunya kebijakan formal dari tiap manegement mengenai metologi perkembangan sistem (System Development metodology). Pucuk pimpinan perusahaan harus menetapkan metologi system development life cycle seal yang dianut.
Siklus Hidup Sistem
Siklus daur hidup sistem (system life cycle) adalah proses evolusioner yang terjadi dalam penerapan sistem atau sub sistem informasi berbasis komputer. Mulai dari perencanaan kebutuhan sistem sampai dioperasokan untuk kegiatan organisasi. Proses tersebut terdiri dari kegiatan perencanaan, analisis, rancangan (Design / construction), penerapan (System Implementation), dan penggunaan sistem atau sering disebut dengan istilah production (operasionalisasi sistem) sebagai suatu sistem yang life digunakan sesuai kebutuhan pengguna dari pada tahap penggunaan tersebut seluruh operasi sistem dilakukan oleh pengguna.
Sistem informasi dibangun menurut kaidah dan metoda – metoda tertentu yang disebut metodologi (System Depelopment Methodology). Menurut berbagai sumber lain, terdapat metodologi yang dapat diikuti.
Sistem development life cycle (SDLC) adalah seluruh proses mengembangkan produknya membangun sistem informasi melalui berbagai langkah, mulai dari penelitian kebutuhan (requitment), analisis, desain, implementasi dan pemeliharaan (maintenance).
Metodologi Sdlc
Istilah metodologi pengembangan (atau pembanguna) sistem aplikasi adalah semata-mata merupakan sebutan yang diintroduksi oleh lingkungan kelompok ahli yang menelurkan ide – ide tentang prosedur pembangunan lain.
Testng, adalah sangat sulit untuk kembali melakukan perubahan karena ada suatu yang belum dipikirkan sebelumnya (atau situasi berubah).
Soft-System Methodology
Pendekatan soft-systems methodology (SSM) meliputi dua tahapan, yaitu :
Kenali situasi/kondisi, identifikasikan problem. Ada tiga hal yang harus diingat dan dilakukan, yaitu :
· Problem solver, yang menggunakan SSM untuk struktur diskusi, debat dan negoisasi tentang problem tersebut.
· Problem owner
· Decision taker, orang yang memiliki kemampuan untuk merubah situasi.
· Uraikan situasi, problem situation, dan problem solver menggunakan SSM untuk membantu staheholder (Problem solver, problem owner, decision taker) untuk mengeri benar aturan, norma dan nilai yang mendasar problem tersebut.
Sociotechnical Design Approach
Pendekatan sociotechnical design mulai dikembangkan pada pertengahan akhir tahun 1970an yang didasarkan pada masalah behavioral (keperilakuan pendekatan ini dilakukan dengan tujuan untuk mengoptimalkan gabungan dua aspek, yaitu :
1. Technical system, yang bertujuan untuk memaksimalkan penyelesaian tugas.
2. Social system, bertujuan memaksimalkan kualitas working life system user.
Politycal Approach
Pada awal tahun 1980an diperkenalkan pendekatan politis (politycal approach) dalam pengembangan sistem informasi. Munculnya ide ini didasarkan pada pemikiran bahwa keterlibatan user merupakan strategi pengembangan sistem aplikasi yang tepat.
Prototyping Approach
Pendekatan prototyping menggunakan metode langsung dalam pengembangan sistem aplikasi.
Pada umumnya prototyping termasuk pendekatan yang fleksibel dan relatif banyak diikitu karena keunggulan – keunggulan, meskipun ada juga kelemahannya.
Keunggulan prototyping ialah memungkinkan interaksi secara interns (Aktif) dan calon user dapat ikut berpartisipasi, membayangkan, atau mengharapkan sistem apalikasi yang akan dikembangkan. Sedangkan kelemahannya adalah seringkali prototype berjalan di lapangan dan mengalami perubahan – perubahan dari konsep desain awal yang lebih terintegrasi.
Kondisi atau bidang yang cocok menggunakan metoda prototyping misalnya :
1. Bidang yang tipe pekerjaannya high risk
2. Dalam pembangunannya harus banyak interaksi dengan calon pengguna sistem aplikasi tersebut.
3. Sistem perlu segera dioperasionalkan
4. Ekspektasi umur sistem tidak terlalu panjang
5. Sistem yang kondisi dan lingkungannya baru
6. Para calon pengguna sistem belum dapat diukur ciri – ciri karakteristiknya.
Contigency Approach
Menurut para pendukung gagasan model pengembangan sistem ini. Hal – hal berikut ini yang mempengaruhi efektifitas pendekatan ini, yaitu :
1. Social system impact, jika sistem memiliki dampak besar terhadap pekerjaan, sktruktur organisasi atau distribusi kekuatan organisasi, maka desainer harus melakukan pendekatan dan memperhatikan issue behavioral yang timbul.
2. Task sistem impact, jika sistem mempengaruhi kinerja karyawan dan keseluruhan efektifitas dan efesiensi organisasi maka bagian HRD harus ikut bertanggungjawab terhadap pengembangan sistem ini.
3. System size, skala sistem yang akan dikembangkan harus disebarluaskan apa yang menjadi dampak sosial dan sistem pada organisasi.
Peranan Auditor
Dari sudut – pandang audit, pengembangan dan dokumentasi siste adalah sangat penting sekali untuk mendapatkan perhatian, perlunya mekanisme kontrol dan audit diharapkan dapat menjaga compliance terhadap procedur. Olh karena itu perusahaan perlu menetapkan standard metodology dan dokumentasi dan mendorong agar sistem aplikasi dibangun dengan ketaatan prosedur sejak mula dari langkah yang paling awal.
Pemeliharaan / Modifikasi Sistem
Sistem yang sudah operasional seringkali penting untuk disempurnakan di-update, di-generate laporan – laporan tambahan, atau perubahan – perubahan minor. Salah satu alasan untuk melakukan perubahan adalah karena tidaklah mungkin untuk mengatasi seluruh kontinjensi selama tahap perancangan. Selain itu, kondisi lingkungan bisnis membutuhkan perubahan.
Aspek – aspe atau tahap yang mana saja yang diperlu dievaluasi dari satu kegiatan pengembangan sistem aplikasi? Ada beberapa hal yang harus dievaluasi yaitu. (a) Problem opportunity definition, (b) management of the change procces, (c) entry the feasibility assessment, (d) Analysis of the existing system, (e) formulation of strategic requirements, (f) Organizational and job design, (g) Information processing system design, (h) application software acquisition and development, (i) hardware/system software acquisition, (j) procedures development, (k) acceplence testing, (l) conversion, (m) operation and maintenance.
Audit Sistem Aplikasi
Type audit yang digunakan auditor pada proses pengembangan sistem ialah :
1. Concurrent audit, auditor sebagai bagian dari team pengembangan sistem, auditor terlihat sebagai team untuk meningkatkan kualitas sistem yang sedang dikembangkan.
2. Postimplementation audit, auditor membantu organisasi untuk mempelajari aplikasi sistem yang sedang dijalankan, auditor dapat melakukan evaluasi apakah sistem yang ada perlu dibuang, dilanjutkan atau dimodifikasi.
3. General review of information sistems auditor, auditor melakukan evaluasi tehadap pengembangan sistem secara keseluruhan, auditor menentukan apakah mereka dapat perlunya mengurangi pengecekan data.
Prosedur Audit Rinci
Instrumen Pengumpulan Bukti Audit
Bukti audit diperoleh dari pihak – pihak terkait, dikumpulkan dengan sebagai cara, antara lain : kuesioner, pengamatan atau obsevasi (pengamatan dilakukan ditekankan pada TI, yang mencakup system application, data center dan infratructur), wawancara, review dokumentasi, pemeriksaan fisik, analytical review procedure, tes/pengujian, penjelasan pihak ketiga/ahli dan sebagainya.
Sumber :
http://yuriswan.blogspot.com/2016/01/audit-sistem-informasi-dan-prosedur.html
Sumber :
http://yuriswan.blogspot.com/2016/01/audit-sistem-informasi-dan-prosedur.html
0 komentar: