1.
Pengertian Audit Sistem Informasi
Audit sistem informasi adalah
proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem
komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong
pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara
efisien”. Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah
:
Information systems auditing is the process of collecting and
evaluating evidence to determine whether a computer system safeguards assets,
maintains data integrity, allows organizational goals to be achieved
effectively, and uses resources efficiently”.
2.
Tahapan Audit Sistem Informasi
Tahapan audit menurut Gallegos. Dalam bukunya, “Audit
and Control of Information System” yang mencakup beberapa aktivitas,
yaitu :
1.
Perencanaan (Planning)
Tahap
perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope),
objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi
dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi,
sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang
terkait dengan pengolahan investigasi. Perencanaan meliputi beberapa aktivitas
utama, yaitu:
·
Penetapan ruang lingkup dan tujuan audit
·
Pengorganisasian tim audit
·
Pemahaman mengenai operasi bisnis klien
·
Kaji ulang hasil audit sebelumnya
·
Penyiapan program audit
2. Pemeriksaan Lapangan
(Field Work)
Tahap
ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara
mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan
dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner
ataupun melakukan survey ke lokasi penelitian.
3.
Pelaporan (Reporting)
Setelah
proses pengumpulan data, maka akan didapat data yang akan diproses untuk
dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan
dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan
maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi
hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan
kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang
diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan
(gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta
mengetahui apa yang menyebabkan adanya gap tersebut.
4.
Tindak Lanjut (Follow Up)
Tahap
ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi
tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk
selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang
diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan
dimasa yang akan datang. Menurut Weber (2001), tahapan-tahapan audit sistem
informasi terdiri dari:
1. Investigasi dan
Penyelidikan Awal
Merupakan tahapan
pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal
atau melanjutkan yang ada unutk menentukan apakah pemeriksaan tersebut dapat
diterima, penempatan staf audit yang sesuai melaukan pengecekan informasi latar
belakang klien, mengerti kewajiban utama dari klien dan mengidentifikasi area
resiko.
2. Pengujian atas Control
(Tests of Controls)
Tahap ini dimulai dengan pemfokusan pada pengendalian menegemen,
apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian manegemen
tidak berjalan sebagai mana mestinya. Apabila auditor menemukan kesalahan yang
serius pada pengendalian manegemen, maka mereka akan mengemukakan opini atau
mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya.
3. Pengujian atas
Transaksi (Tests of Transaction)
Pengujian yang
termasuk adalah pengecekan jurnal yang masuk dari dokumen utama, menguji nilai
kekayaan dan ketepatan komputasi. Komputer sangat berguna dalam pengujian ini
dan auditor dapat mengunakan software audit yang umum untuk mengecek apakah
pembayaran bunya dari bank telak dikalkulasi secara tepat.
4. Pengujian
atas Keseimbangan atau Hasill Keseluruhan (Tests of Balances or Overall
Results)
Auditor melakukan pengujian ini agar bukti penting dalam
penilaian akhir kehilangan atau pencatatan yang keliru yang menyebabkan fungsi
sistem informasi gagal dalam memelihara data secara keseluruhan dan mencapai
sistem yang efekti dan efesien. Dengan kata lain, dalam tahap ini mementingkan
pengamatan asset dan integritas data yang obyektif.
5. Penyelesaian Audit
(Completion of The Audit)
Tahap terakhir ini, auditor eksternal melakukan beberapa
pengujian tambahan untuk mengoleksi bukti untuk ditutup dengan memberikan
pernyataan pendapat.
3. Tujuan Audit Sistem Informasi
Tujuan
audit sistem informasi menurut Ron Weber (1999:11-13) secara garis besar
terbagi menjadi empat tahap, yaitu:
1.
Pengamanan Aset
Aset
informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak
(software), sumber daya manusia, file data harus dijaga oleh suatu sistem
pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset
perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang
sangat penting yang harus dipenuhi oleh perusahaan.
2.
Menjaga integritas data
Integritas
data (data integrity) adalah salah satu konsep dasar sistem inforamasi. Data
memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan
keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak
akan lagi memilki hasil atau laporan yang beanr bahkan perusahaan dapat
menderita kerugian
3.
Efektifitas Sistem
Efektifitas
sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan
keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi
tersebut telah sesuai dengan kebutuhan user
4.
Efisiensi Sistem
Efisiensi
menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki
kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih
memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan
efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya
informasi yang minimal.
4. Standar Audit
Standar
Audit yang umum digunakan adalah standar yang diterbitkan oleh ISACA(InformationSystemsAudit and Control Association) :
·
Audit Charter
o
Tujuan, tanggung jawab, wewenang dan
pertanggungjawaban atas fungsi audit sistem informasi atau penugasan audit
sistem informasi harus didokumentasikan dalam audit charter atau surat
penugasan.
o
Audit charter atau surat penugasan harus
disetujui dan disahkan oleh pejabat yang berwenang
·
Independesi
o
Independensi Profesional : Dalam semua
hal yang berkaitan dengan audit, auditor harus independen dari audit baik secara
fakta maupun penampilan
o
Independensi Organisasi : Fungsi audit
sistem informasi harus independen dari area atau kegiatan yang direview agar diperoleh
penyelesaian penugasan audit yang objektif.
·
Etika dan standar profesional
o
Auditor sistem informasi harus menaati
kode etik dari ISACA dalam melakukan penugasan audit
o
Auditor sistem informasi harus melakukan
kecermatan profesional dalam melakukan audit termasuk ketaatan pada standar
audit
·
Kompetensi profesional
o
Auditor sistem informasi harus kompeten
secara profesional dan harus mempunyai keahlian untuk melakukan penugasan audit
o
Auditor sistem informasi harus
memelihara kompetensi profesionalnya melalui pendidikan dan latihan berkelanjutan.
·
Perencanaan
o
Merencanakan lingkup audit yang
diarahkan pada tujuan audit dan patuh terhadap peraturan yang berlaku serta
standar audit
o
Mengembangkan dan mendokumentasikan
pendekatan audit yang berbasis resiko
o
Mengembangkan dan mendokumentasikan
perencanaan audit secara detail, meliputi sifat dan tujuan audit, waktu dan
perluasan serta tujuan dan sumber daya yang diminta
o
Mengembangkan program audit dan
perencanaan serta rincian dari sifat, waktu dan perluasan prosedur audit yang
diminta untuk menyelesaikan tugas audit
·
Kinerja Audit
o
Pengawasan - staf audit sistem informasi
harus diawasi agar diperoleh keyakinan yang memadai bahwa tujuan audit dicapai
dan standar audit diikuti
o
Bukti audit - selama melakukan audit,
auditor harus mengumpulkan bukti audit yang cukup, andal dan berkaitan dengan
pencapaian tujuan audit. Temuan dan kesimpulan harus didukung oleh analisis dan
penafsiran bukti yang memadai
o
Dokumentasi (kertas kerja pemeriksaan) -
seluruh kerja audit harus didokumentasikan untuk memberikan penjelasan mengenai
semua langkah audit dan menyajikan bukti audit yang mendukung semua temuan
serta kesimpulan audit.
·
Pelaporan
o
Pada waktu audit telah selesai, auditor
harus membuat laporan dalam bentuk yang tepat dan dalam pendistribusiannya
harus diidentifikasi organisasi mana saja yang dapat diberikan dan mana yang
tidak
o
Laporan audit harus berisi lingkup,
tujuan, periode yang dicakup, sifat, waktu dan perluasan pemeriksaan yang dilaksanakan
o
Laporan audit harus berisi temuan,
kesimpulan dan rekomendasi serta pembatasan atau pengecualian lingkup audit
yang ada
o
Auditor harus mempunyai bukti yang cukup
dan pantas untuk mendukung hasil auditnya
o
Ketika diterbitkan, laporan audit harus
ditandatangani, diberi tanggal dan dibagikan sesuai dengan yang dipersyaratkan
dalam surat penugasan
·
Follow-up activity
o
Sesudah laporan diberikan, auditor harus
menerima informasi mengenai tindak koreksi yang telah dilakukan atas rekomendasi
yang diberikan dalam waktu yang tepat
5. Manajemen Risiko
Manajemen
risiko pada dasarnya dilakukan melalui proses-proses berikut ini.
1.
Identifikasi
Risiko
Identifikasi
risiko dilakukan untuk mengidentifikasi risiko-risiko apa saja yang dihadapi
oleh suatu organisasi. Banyak risiko yang dihadapi oleh suatu organisasi, mulai
dari risiko penyelewengan oleh karyawan. Ada beberapa teknik untuk
mengidentifikasi risiko, misal dengan menelusuri sumber risiko sampai
terjadinya peristiwa yang tidak diinginkan.
2.
Evaluasi
dan Pengukuran Risiko
Langkah
berikutnya adalah mengukur risiko tersebut dan mengevaluasi risiko tersebut.
Tujuan evaluasi risiko adalah untuk memahami karakteristik risiko dengan lebih
baik. Jika kita memperoleh pemahaman yang lebih baik, maka risiko akan lebih
mudah dikendalikan. Evaluasi yang lebih sistematis dilakukan untuk ‘mengukur’
risiko tersebut.
3.
Pengelolaan
Risiko
Setelah analisis
dan evaluasi risiko, langkah berikutnya adalah mengelola risiko. Risiko harus
dikelola. Jika organisasi gagal mengelola risiko, maka konsekuensi yang
diterima bisa cukup serius, misal kerugian yang besar. Risiko bisa dikelola
dengan berbagai cara, seperti penghindaran, ditahan (retention), diversifikasi,
atau ditransfer ke pihak lainnya. Erat kaitannya dengan manajemen risiko adalah
pengendalian risiko (risk control), dan pendanaan risiko (risk financing).
Sumber :
