Tugas Audit SI

1. Standar Audit SI

2. a. Konsep Dasar Control dan Audit Sistem Informasi

Menurut Wishnu AP dalam Saputri (2015), Audit adalah proses pemeriksaan yang dilakukan secara sistematis untuk mengetahui bagaimana sesungguhnya pelaksanaan kualitas diterapkan. Hasil audit akan di dokumentasi dan evaluasi secara berkala. Sedangkan menurut Frans m. Royan Audit bertujuan untuk mempermudah pemilik melakukan kontrol dan menghindari penyelewengan serta manipulasi data. Sedangkan pengertian audit sistem informasi merupakan suatu kegiatan pemeriksaan yang dilakukan oleh seorang audit internal perusahaan dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian perusahaan untuk mencapai tujuan perusahaan dan sesuai dengan kriteria yang ditentukan.

Sedangkan pegertian control disebut juga pengendalian yang berarti sebuah sistem  

(a control is a system) dengan kata lain merupakan sekumpulan komponen yang saling berelasi yang berfungsi secara bersama-sama untuk menyelesaikan suatu maksud atau tujuan, keabsahan / kebenaran dari suatu kegiatan (unlawful events), dan pemeriksaan.

5 Siklus Audit Akunting Sistem Informasi :

1.     Revienue Cycle (Sales and cloction)

2.     Expenditure Cycle (Tentang bagaimana membeli barang)

3.     Production Cycle ( Bagaimana Menghasilan Barang)

4.     HRM

5.     General Regent and Reporting System
b. Prinsip-Prinsip Dasar Proses Audit SI

  • Ethical conduct : Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan, dan kebijaksanaan.
  • Fair Presentation : Kewajiban melaporkan secara jujur dan akurat.
  • Due professional care : Implementasi dari kesungguhan dan pertimbangan yang diberikan.
  • Independence
  • Evidence-base approach.

Adapun proses-proses meng-audit, seperti :

– Perencanaan Audit(Planning The Audite)

– Pengujian Pengendalian(Test of Controls)

– Pengujian Transaksi(Test of Transaction)

– Pengujian Keseimbangan atau Keseluruhan Hasil(Tests of Balances or Overal

  Result)

– Penyelesaian/ Pengakhiran Audit(Completion of The Audit)

c. Standar dan Panduan Audit SI

Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian intern (internal controls model/framework) lazimnya adalah COBIT. Audit objectives dalam audit terhadap IT governance (menurut COBIT adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi di sini.

Dalam pelaksanaannya, jenis audit ini berkembang dalam beberapa variannya:

  • Pemeriksaan Operasional (Operational Audit) terhadap pengelolaan sistem informasinya, atau lebih tepatnya terhadap tata-kelola Teknologi Informasi (IT governance).
  • General Information review, Audit terhadap Sistem Informasi secara umum pada suatu organisasi tertentu.
  • Audit terhadap aplikasi tertentu yang sedang dikembangkan (Quality Assurance pada tahap system development), Quality Assurance pada systems development.

Di dalam audit ini, auditor bukan anggota dari tim pengembangan sistem, tetapi membantu tim untuk meningkatkan kualitas dari sistem yang mereka rancang dan implementasikan. Auditor mewakili pimpinan proyek dan menejemen perusahaan untuk memonitor kegiatan tim.

  • Postimplementation audit: Audit terhadap aplikasi tertentu yang sudah dioperasikan (postimplementation audit yang bersifat application software review).
  • Audit e-business atau e-commerce, di USA ikatan akuntan publiknya (AICPA) menawarkan jasa webtrust, bahkan juga systrust.
  • Audit juga dapat dilaksanakan untuk jenis lingkup penugasan tertentu, misalnya:
  • Telaah lingkungan Teknologi Informasi, termasuk aspek-aspek fisik dan infrastruktur (Physical and environmental review).
  • Telaah proses bisnis dan seberapa jauh Teknologi Informasi mendukungnya (Business continuity review).
  • Telaah kepemilikan Teknologi Informasi, apakah sewa/leasing, dimiliki oleh perusahaan sepenuhnya, atau dimiliki perusahaan outsourcing.
  • Telaah sistem jaringan dan keamanan (Network security review).
  • Telaah integritas data pada Sistem Informasi (Data integrity review).
  • Telaah administrasi sistem, meliputi: keamanan sistem operasi, manajemen database, prosedur dan ketaatan administrasi secara keseluruhan (System administration review).

Jadi dapat disimpulkan bahwa pengertian audit Sistem Informasi dapat dikelompokkan dalam dua tipe, yaitu: Audit Sistem Informasi akuntansi berbasis Teknologi Informasi yang merupakan bagian dari kegiatan audit laporan keuangan (general financial audit). Pemeriksaan dilakukan terhadap Sistem Akuntansi berbasis komputer. Di pihak lain Audit Sistem Informasi juga dapat dikategorikan sebagai jenis audit operasional, khususnya kalau pemeriksaan yang dilakukan adalah dalam rangka penilaian terhadap kinerja unit fungsional atau fungsi Sistem Informasi (pusat/instalasi komputer), atau untuk mengevaluasi sistem-sistem aplikasi yang telah diimplementasikan pada suatu organisasi/perusahaan (general information systems review), untuk memeriksa keterandalan sistem-sistem aplikasi komputer tertentu yang sedang dikembangkan (system development) maupun yang sudah dioperasikan (postimplementation audit).

Standar Audit

Standar Audit SI tidak lepas dari standar professional seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya. Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. Beberapa standar audit SI yang biasa digunakan adalahs ebagai berikut:

  1. ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals
  2. IIA : International Professional Practices Framework / IPPF
  3. IASII : Standar Audit Sistem Informasi
  4. BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
  5. BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi

3. a. Kontrol Internal

Proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.

Ruang Lingkup Kontrol Internal

Menurut Hery (2010:39) bahwa untuk mencapai keseluruhan tujuan tersebut, maka auditor internal harus melakukan beberapa aktivitas (Ruang lingkup audit internal) yaitu sebagai berikut :

  1. “Memeriksa dan menilai baik buruknya pengendalian atas akuntansi keuangan dan operasi lainnya.
  2. Memeriksa sampai sejauh mana hubungan para pelaksana terhadap kebijakan, rencana dan prosedur yang telah ditetapkan.
  3. Memeriksa sampai sejauh mana aktiva perusahaan dipertanggung jawabkan dan dijaga dari berbagai macam bentuk kerugian.
  4. Memeriksa kecermatan pembukuan dan data lainnya yang dihasilkan oleh perusahaan.
  5. Menilai prestasi kerja para pejabat/ pelaksana dalam menyelesaikan tanggung jawab yang telah ditugaskan.”

Sistem Kontrol Internal

Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.

b. Control Objectives

Suatu panduan standar praktik manajemen teknologi informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan user untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.

Control Risk

Ukuran penetapan auditor akan kemungkinan adanya kekeliruan (salah saji) dalam segmen audit yang melampaui batas toleransi yang tidak terdeteksi atau tercegah oleh struktur pengendalian intern klien. Risiko pengendalian (control risk) mengandung unsur:

1. Apakah struktur pengendalian intern klien cukup efektif untuk mendeteksi atau mencegah   kekeliruan.
2. Keinginan auditor untuk membuat penetapan tersebut di bawah nilai maksimum (100%) dalam rencana audit. 

Contoh : auditor menyimpulkan bahwa struktur pengendalian intern yang ada sama sekali tidak efektif dalam mencegah atau mendeteksi kekeliruan. 

c. Management Control Framework

Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.

Application Control Framework

Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.

d. Corporate IT Governance

Struktur dari hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya.

IT governance merupakan satu kesatuan dengan sukses dari enterprise governance melalui pen-ingkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang berhubungan. IT governance menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasibagi strategi dan tujuan perusahaan. 

IT governance menggabungkan good (best) practice dari perencanaan dan pengorganisasian TI, pembangunan dan pengimplemantasian, delivery dan support, serta memonitor kinerja TI untuk memastikan kalau informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis perusahaan. 

4. Aspek Management Control Framework

a. Defining, creating, redefining, retiring data (dengan wawancara, observasi)

b. Membuat database tersedia untuk semua user

c. Menginformasikan dan melayani user

d. Memelihara integritas data

e. Monitoring operations

Contoh :

Kontrol dapat dilakukan dengan menetapkan kebijakan dan standar untuk setiap aktivitas yang berkaitan dengan fungsi SI.

Tinggalkan komentar