Latar Belakang Informasi merupakan salah satu sumber daya strategis suatu organisasi, oleh karena itu, untuk mendukung tercapainya visi dan misi suatu organisasi, pengelolaan informasi menjadi salah satu kunci sukses. Sistem informasi merupakan salah satu sub sistem organisasi untuk mengelola informasi. Saat ini sistem informasi dioperasikan oleh hampir seluruh sumber daya manusia suatu organisasi sehingga tidak dapat dipisahkan dengan operasi dan kehidupan organisasi. Teknologi informasi merupakan komponen penting dari sistem informasi, selain data/informasi, sumber daya manusia dan organisasi. Teknologi informasi yang dimaksud adalah teknologi telematika, telekomunikasi dan informatika, yang mencakup teknologi komputer (perangkat keras, perangkat lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi data digital sebagai infrastruktur dari jaringan komputer. Perlu teknik untuk mengendalikan dan memastikan bahwa sistem informasi sudah sesuai dengan tujuan organisasi. Audit sitem informasi merupakan suatu cara untuk menilai sejauh mana suatu sistem informasi telah mencapai tujuan organisasi. Penelitian ini ditujukan untuk mencari model untuk mengaudit sistem informasi berbasis kendali. Model yang dikembangkan mencakup: (1) konsep struktur/ kerangka dan prosedur pelaksanaan audit, (2) materi/ isi yang dijadikan sebagai tolok ukur untuk penilaian dan (3) perangkat lunak bantu yang memudahkan dokumentasi dan pengolahan hasil audit. Pada makalah ini akan diuraikan konsep struktur/ kerangka dan prosedur audit sistem informasi saja, dua bagian lainnya akan disampaikan pada makalah terpisah. 2. Audit Sistem Informasi Berbasis AUDIT SISTEM INFORMASI Sistem informasi adalah sekumpulan komponen yang saling berhubungan yang mengumpulkan (collect/ retrieve), memproses, menyimpan dan mendistribusikan
informasi untuk mendukung pembuatan keputusan dan pengendalian suatu organisasi. Informasi adalah data yang telah diolah menjadi bentuk yang bermakna dan bermanfaat bagi pemakai. Data adalah fakta yang menyatakan suatu kejadian atau lingkungan fisik yang belum dikelola menjadi bentuk yang bermakna dan bermanfaat bagi manusia. Audit sistem informasi didefinisikan sebagai proses pengumpulan dan evaluasi fakta/ evidence untuk menentukan apakah suatu sistem informasi telah melindungi aset, menjaga integritas data, dan memungkinkan tujuan organisasi tercapai secara efektif dengan menggunakan sumber daya secara efisien. Dalam pelaksanaan audit digunakan etika profesi yang dirumuskan oleh organisasi profesi Information System Audit and Control Association (ISACA) Dalam melaksanakan audit faktor-faktor berikut harus diperhatikan: 1. Dibutuhkan informasi yang dapat diukur dan sejumlah kriteria (standar) yang dapat digunakan sebagai panduan untuk mengevaluasi informasi tersebut, 2. Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas untuk menentukan lingkup tanggungjawab auditor, 3. Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup untuk memenuhi tujuan audit, 4. Kemampuan auditor memahami kriteria yang digunakan serta sikap independen dalam mengumpulkan bahan bukti yang diperlukan untuk mendukung kesimpulan yang akan diambilnya.
Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000). Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Audit Sistem Informasi merupakan pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit Sistem Informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Pada dasarnya, Audit Sistem Informasi dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. Keuntungan adanya audit antara lain : menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi, memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undangundang perusahaan, mengukur tingkat efektifitas dari sistem, mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang, menyediakan informasi untuk proses peningkatan, meningkatkan saling memahami antar departemen dan antar individu, melaporkan manajemen. Informasi audit harus disimpan dan dijaga sehingga sebuah aksi dapat ditelusuri. Data audit harus dijaga dari modifikasi dan perusakan dari pihak yang tidak bertanggung jawab. hasil tinjauan dan tindakan berdasarkan resiko ke
METHODOLOGI AUDIT SISTEM INFORMASI Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi. Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
1. 2.
Audit subject. Menentukan apa yang akan diaudit. Audit objective. Menentukan tujuan dari audit.
3. 4.
Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5.
Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
6. 7.
Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas: o o o o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, Kesimpulan umum dari auditor. Hasil audit. Apa yang ditemukan dalam audit, apakah Rekomendasi. Tanggapan dari manajemen (bila perlu). Exit interview. Interview terakhir antara auditor dengan prosedur audit.
8.
pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih KATEGORI AUDIT TI Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data. Sementara,
tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi. Dalam praktiknya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ). Tahapan perencanaan ini akan menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan). Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy). Biasanya, auditor TI menerapkan teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Sesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya laporan audit pada umumnya.
Model audit sistem informasi berbasis kendali ini didasarkan pada suatu model fungsional sistem informasi, di mana sistem informasi dibagi dalam 2 fungsi [2], yaitu: fungsi manajemen dan fungsi aplikasi, di mana fungsi manajemen membungkus fungsi-fungsi aplikasi (Gambar 4.1)
Informasi Data Prosedur (BD/NW) Interoperabilitas (HW/SW) Pemroses Aplikasi Dokumen Sistem Informasi
LANGKAH DASAR AUDIT SI Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
1) 2) 3) 4)
Audit subject. Menentukan apa yang akan diaudit. Audit objective. Menentukan tujuan dari audit. Audit Scope. Menentukan sistem, fungsi, dan bagian dari Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang
organisasi yang secara spesifik/khusus akan diaudit. dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5)
melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara. 6) Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7)
Prosedur komunikasi dengan pihak manajemen. Spesifik pada Audit Report Preparation. Menentukan bagaimana cara
tiap organisasi.
8)
memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas: o o o o Pendahuluan. Tujuan, ruang lingkup, lamanya audit, Kesimpulan umum dari auditor. Hasil audit. Apa yang ditemukan dalam audit, apakah Rekomendasi. Tanggapan dari manajemen (bila perlu). Exit interview. Interview terakhir antara auditor dengan prosedur audit.
pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih
Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu (Watne, 1990) :
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada
tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit. 2. Tahap Pemeriksaan Rinci. Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya. 3. Tahap Pengujian Kesesuaian. Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri. 4. Tahap Pengujian Kebenaran Bukti. Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) : 1) Mengidentifikasi kesalahan dalam pemrosesan data 2) Menilai kualitas data 3) Mengidentifikasi ketidakkonsistenan data 4) Membandingkan data dengan perhitungan fisik 5) Konfirmasi data dengan sumber-sumber dari luar perusahaan. 5. Tahap Penilaian Secara Umum atas Hasil Pengujian. Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan
pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup : (1) pengendalian umum, (2) pengendalian aplikasi, yang terdiri dari : (a) pengendalian secara manual, (b) pengendalian terhadap output sistem informasi, dan (c) pengendalian yang sudah diprogram.
PEMAHAMAN PENGENDALIAN UMUM Pengendalian umum pada perusahaan biasanya dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan aspek logikal biasanya terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya adalah: 1). Pengendalian organisasi dan otorisasi. Yang dimaksud dengan organisasi disini adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Disini juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator. 2). Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan. 3) Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap sistem informasi juga harus dikendalikan. Termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi,serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi. 4) Pengendalian akses fisikal dan logikal. Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).
PENGENDALIAN APLIKASI. PEMAHAMAN PENGENDALIAN APLIKASI Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik. Hubungan Pengendalian Umum dan Aplikasi Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik. Macam Aplikasi Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE: 1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan. 2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server. Macam Pengendalian Aplikasi Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi beberapa: 1. Organisasi Aplikasi 2. Akses Aplikasi 3. Input 4. Proses 5. Output
6. Master File/Database Pemahaman atas Pengendalian Organisasi dan Akses Aplikasi Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian aplikasi: organisasi dan akses. Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut. Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya. Pemahaman atas Pengendalian Input Modul ini melanjutkan pengendalian akses dari modul 3.0b, yang pertama melihat pada proses pengendalian input. Inti dari pengendalian input adalah memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi. Beberapa pengendalian input otomatis yang biasa diprogram: Validation checks 1. Format checks: sesuai dengan format yang ditentukan 2. Range and limit checks 3. Check digits 4. Validity checks (lookup) 5. Compatibility checks (data dan turunan) Duplicate Checks Membandingkan dengan input transaksi sebelumnya Matching Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang terhubungkan, contoh: penerimaan barang dengan tagihan Pemahaman atas Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master. Adapun tipe pengendalian proses adalah sebagai berikut: 1. Run to run control 2. Pivot totals 3. Control/Hash totals: non numerical control 4. Control accounts 5. Data file control: menghitung instan entitas 6. Transaction validation control 7. File reconciliation control Pemahaman atas Pengendalian Output Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata. Beberapa tipe pengendalian output: 1. Ekspektansi output (logs) 2. Kelengkapan output (misal dengan no halaman) 3. Pengendalian atas spooled output 4. Reasonableness 5. Output rutin 6. Distribusi output 7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable 8. SQL output Pemahaman atas Pengendalian Berkas Master Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti: Anomaly penambahan Anomaly penghapusan
Anomaly pemuktahiran/pembaruan Fungsi manajemen mencakup: manajemen puncak, manajemen pengembangan, manajemen operasi dan pemeliharaan, manajemen kualitas, manajemen keamanan, dan manajemen data. Sedangkan fungsi aplikasi mencakup sub
fungsi: batas antara pemakai dan sistem aplikasi, input, pemrosesan, basis data, komunikasi data dan output, prosedur dan dokumentasi. Sedangkan dilihat dari fungsi aplikasi, sistem informasi dapat dimodelkan seperti pada gambar 4.2.
Prosedur
informasi
Aplikasi
Interoperasional Basisdata/network
Dokumen
Gambar Model IPO (Input-Proses-Output) dan Komponen Aplikasi Sistem Informasi PENGENALAN KERTAS KERJA Kertas Kerja: Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang diterapkan, pelaksanaan pengujian dan bukti yang diperoleh serta kesimpulan yang diperoleh selama audit. Kertas kerja merupakan pendukung utama laporan audit, alat koordinasi dan supervisi, bukti bahwa auditor telah melakukan audit sesuai dengan standar auditing yang Berterima umum. Tujuan Kertas Kerja: Untuk mendokumentasikan semua bukti audit yang diperoleh selama pelaksanaan audit. Untuk mengorganisasikan/mengkoordinasikan semua tahap atau langkah-langkah audit.
Untuk membantu auditor senior, partner atau pimpinan kantor akuntan dalam mereview pekerjaan yang dihasilkan oleh stafnya. Untuk mempermudah atau sebagai dasar penyusunan laporan audit Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta temuan-temuan yang telah dilaporkan dalam laporan audit.
Pedoman Pembuatan Kertas Kerja Setiap kertas kerja harus bertujuan Setiap topik dibuatkan kertas kerja sendiri Indentitas (judul) yang jelas Diberi indeks atau indeks silang Semua langkah (prosedur audit) harus dijelaskan Berisi komentar auditor yang mencerminkan kesimpulan Ada paraf dan tanggal pembuatan/evaluasi Penyimpanan terpisah antara yang sudah selesai dengan yang belum selesai Jenis Kertas Kerja Kertas kerja neraca saldo Jadwal dan analisis Memo audit dan informasi pendukung Jurnal penyesuaian dan pengklasifikasian kembali
Fungsi Kertas Kerja pekerjaan. Penyediaan catatan tentang: 1. Prosedur audit yang dilakukan. 2. Pengujian yang dilakukan Pendukung pendapat auditor. Membantu dalam pengarahan dan pengawasan
3. Informasi yang diperoleh. 4. Kesimpulan yang dicapai. Menyediakan bukti bahwa audit telah diarahkan menurut Standar Profesional Audit Internal Kelengkapan Kertas Kerja 1. dapat terjawab. 2. Kertas kerja harus berdiri sendiri, dalam hal ini harus dinyatakan secara jelas bahwa pekerjaan telah dilaksanakan, bagaimana dan dari mana sampel dipilih, tujuan kertas kerja, temuan apa saja yang telah dibuat, dan lain-lain. harus terdiri dari: 1. 2. jelas 3. auditor awal 4. kerja Nomer indeks kertas Tanggal persiapan Gambaran judul Identifikasi sumber jika Setiap bagian dari kertas kerja Kertas kerja harus akurat dan lengkap Tidak ada pertanyaan signifikan dalam lingkup atau yang berhubungan dengan tujuan audit yang tidak
PRINSIP LAPORAN AUDIT Hasil Laporan audit merupakan media yang dipakai oleh auditor dalam berkomunikasi dengan klien. Laporan audit berupa komunikasi dan ekspresi auditor terhadap objek yang diaudit agar laporan atau ekspresi auditor tadi dapat dimengerti maka laporan itu harus mampu dipahami oleh penggunanya.
1) Maksud dan tujuan dari review pengendalian terhadap penerapan TI di klien. 2) Ruang lingkup dan referensi pengendalian yang digunakan sebagai bahan acuan penilaian pengendalian TI yang diterapkan dalam klien. 3) Metodologi review merupakan langkah-langkah audit dan teknik pemerolehan informasi untuk mendukung laporan review. 4) Pernyataan penjelasan hasil review: a) b) c) Permasalahan, menjelaskan pokok masalah yang Temuan, menjelaskan bukti audit untuk mendukung Kriteria/standar, menjelaskan pengendalian yang saat ini dihadapi oleh klien. kesimpulan masalah. seharusnya diterapkan oleh klien. d) e) Kondisi, menjelaskan sebab dan akibat serta
aktifitas/kegiatan terkini. Risiko, menjelaskan potensi dan dampak negatif terhadap hilangnya atau tidak diterapkannya pengendalian. f) Tanggapan manajemen, menjelaskan komentar dan
tanggapan manajemen terhadap permasalahan dan temuan yang telah disampaikan. g) dan Rekomendasi, menjelaskan saran-saran perbaikan implementasi penge pengendalian yang harus
Pelaksanaan audit system informasi dilaksanakan berdasarkan risk-based approach dengan mengacu pada: 1. Pernyataan Standar Audit 57, 59, 60, 63, 64 dan 65 2. COBIT 4.0 3. ISO 17799:2005
4. best practices lainnya (ISACA Guidelines, CISA 2007, COSO, SarbanesOxley Act, SANS) Pelaksanaan audit dilakukan dengan Cara yang dapat dilaksanakan adalah: 1. Penyampaian kuisioner a. Kuisioner Pengendalian Sistem Informasi
b. Kuisioner c. Kuisioner
2. Wawancara 3. Observasi
I II
Analisis Analisis
Pengelolaan Pengelolaan
Teknologi Teknologi
Informasi, Informasi,
a. Major application b. Infrastruktur pendukung data center: air conditioning, smoke detector, fire extinguisher, hydrant, dll. c. Sistem Operasi d. Database e. Internet, LAN, WAN f. Perangkat Keras dan Lunak g. Kebijakan dan Standard Operation Procedure 4. Studi kebijakan, prosedur, dan dokumentasi 5. Pengujian dengan menggunakan perangkat lunak
Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang dimiliki oleh entitas terbatas. Jika cara kerja dari sistem aplikasi
komputer menurun maka pihak manajemen, dalam hal ini mewakili entitas, harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
5.
Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan supaya terlindung dari akses dari pihak-pihak yang tidak berwenang dan bertanggungjawab.
6.
Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organ isasi, pelaporan dan pertanggungjawaban.
7.
Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atributatribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu entitas tidak akan lagi memiliki informasi/laporan yang benar, bahkan entitas dapat menderita k kerugian karena pengawasan yang tidak tepat atau keputusankeputusan yang salah. Faktor utama yang membuat data berharga bagi entitas dan pentingnya untuk menjaga integritas data adalah: a. Makna penting data/informasi bagi pengambilan keputusan adalah peningkatan kualitas data sehingga dapat memberikan informasi bagi para pengambil keputusan. b. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing maka kehilangan data akan memberikan dampak buruk bagi
entitas.
Pesaing
dapat
menggunakan
data
tersebut
untuk
mengalahkan entitas saingannya sehingga mengakibatkan entitas menjadi kehilangan pasar, berkurangnya keuntungan, dan sebagainya. 8. Menaati seluruh peraturan dan aturan yang ada dan berlaku saat ini, baik itu di internal dan eksternal organisasi/entitas (Compliance) Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar entitas memberikan dampak yang positif cukup dan bernilai para tambah pihak guna yang memberikan keyakinan bagi
berkepentingan entitas khususnya para regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak meniadakan prinsip biayamanfaat dalam melakukan kegiatan usaha/bisnis entitas khususnya kegiatan teknologi informasi. Komponen Aplikasi Sistem Informasi Sistem informasi merupakan sistem yang mengolah data menjadi informasi untuk mendukung operasi dan pengambilan keputusan suatu organisasi. Secara fisik, sistem informasi memiliki 4 komponen, yaitu:
informasi.-Sumber daya manusia (brainware), sebagai user dan pengelola dari sistem informasi.
Teknologi (technoware), yaitu teknologi komputer HW, SW, NW, BD Prosedur dan Organisasi (organiware), prosedur dibuat dalam bentuk
langkah dan dokumen yang diperlukan/ harus diisi selama pengoperasian dan pengelolaan sistem. Sedangkan organisasi memberikan wadah untuk pengelolaan dan pengoperasian sistem informasi. Dilihat dari tipe pemroses data menjadi informasi, sistem informasi, dibagi menjadi:
Manual, di mana manusia sebagai information processor. Terotomatisasi, di mana manusia sebagai operator yang menyediakan
input-output, sedangkan komputer menjadi information processor. Semi manual, di mana information processor, sebagian manusia dan
sebagian komputer.
Dengan demikian, model pada gambar 4.2 ini mengakomodasi sistem informasi yang manual, semi manual maupun yang terotomatisasi dengan menggunakan teknologi komputer. 4.1. Model Audit Sistem Informasi Berbasis Kendali Audit sistem informasi, jika dilihat sebagai model IPO (input-proses-output), dapat digambarkan seperti gambar 4.3.
resiko
Hasil
fakta
Gambar Model Audit Sistem Informasi berbasis Kendali Audit sistem informasi dilaksanakan untuk mencapai suatu tujuan, yaitu: ingin mengetahui apakah sistem informasi telah:
Asset safeguard (As), mampu melindungi aset sistem informasi. Data integrity (Di), apakah mampu menjamin integritas data. Effectivity (Ek), apakah pengoperasiannya dalam rangka mencapai tujuan
menggunakan sumber daya organisasi secara efisien. Untuk mencapai tujuan tersebut, perlu dilakukan penilaian terhadap kondisi sistem informasi suatu organisasi (fakta). Pengumpulan fakta dilakukan dengan metode: Wawancara (Wr); Inspeksi (In); Kuisioner (Ks); Tes data (Td); Tes program (Tp). Metode di atas dapat digunakan secara sendiri atau merupakan kombinasi. Agar penilaian berlangsung sistematis, maka sistem informasi suatu organisasi perlu dipartisi terutama berhubungan dengan sistem pengendalian dalam organisasi tersebut (struktur kendali). Untuk melaksanakan dan mengevaluasi fakta diperlukan standar dan prosedur audit. Agar penilaian proporsional, maka perlu dikaitkan dengan tingkat resiko dari masing-masing kendali dalam struktur kendali organisasi. Pada model yang dirancang:
Tujuan yang ingin dicapai sesuai dengan tujuan dari audit sistem
informasi. Struktur kendali didasarkan pada partisi sistem informasi atas fungsi
manajemen dan fungsi aplikasi, dengan demikian ada kendali manajemen dan kendali aplikasi.
2000. Resiko setiap kendali digunakan sebagai bobot terhadap tujuan audit.
Dengan demikian setiap kendali memberikan sumbangan terhadap tingkat pencapain tujuan audit. Hasil audit, berupa indeks pencapain tujuan untuk keseluruhan dan masingmasing kendali, serta temuan yang bersifat penyimpangan dan rekomendasirekomendasi untuk memperbaiki yang terkait dengan pencapaian tujuan audit sistem informasi.
Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melakukan audit sistem informasi, seorang auditor harus memastikan tujuan-tujuan ini terpenuhi:
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang
tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan. 6. File data komputer telah akurat, lengkap dan dijaga kerahasiaannya. Tujuan audit tersebut diatas berkaitan dengan komponen dari sistem informasi. Keterkaitan antara tujuan audit dan komponen sistem informasi dapat dilihat pada gambar 1.
Gambar. Komponen sistem informasi dan tujuan audit yang berkaitan Waktu Pelaksanaan Audit Dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan audit, baik itu sebelum atau pada saat implementasi ( preimplementation system ), maupun setelah sistem live ( post-implementation system ). Manfaat audit Pre-Implementation System:
1. Institusi mendapat masukan atas risiko-risiko yang masih ada dan saran
untuk penanganannya.
3. Memimpin audit/review produktivitas sumber daya manusia teknologi Informasi 4. Merencakan, menjadwal sumber daya untuk aktifitas audit
4. Pemahaman yang baik mengenai standard kualitas internasional, aturanaturan Teknologi Informasi, kebijaksanaan organisasi, metodologi dan lain sebagainya. 5. Ketrampilan intepersonal yang baik
Selain pengetahuan dan ketrampilan diatas seorang spesialis audit sistem informasi juga dituntut memenuhi syarat untuk akreditasi pribadi di bawah suatu system sertifikasi kualitas yang diakui secara internasional. Salah satu sertifikasi profesional sebagai standar pencapaian prestasi dalam bidang audit, kontrol, dan keamanan sistem informasi yang telah diterima secara internasional adalah CISA (Certified Information Systems Auditor) yang dikeluarkan oleh ISACA (Information Systems Audit and Control Association).
Studi Kasus
Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk melakukan review atas penerapan sistem Perbankan yang terintegrasi.
Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan, sebagai berikut: 1. Manajemen Proyek Melakukan review atas manajemen proyek untuk memastikan bahwa semua outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini, auditor TI melakukan review atas project charter, sumber daya yang akan digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek. 2. Desain Proses dan Pengendalian Kontrol Aplikasi Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut, yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan input, proses maupun output. 3. Desain Infrastruktur Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur pendukung (server, workstation, sistem operasi, database dan komunikasi data). Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi sistem Perbankan yang terintegrasi tersebut. Berdasarkan nilai tambah yang diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk kembali auditor untuk melakukan review fase kedua secara paralel pada saat implementasi dilakukan, yaitu review terhadap:
Migrasi data, pada saat roll-out ke cabang-cabang, termasuk Aspek lainnya termasuk persiapan help-desk , contingency dan Kesiapan pemakai dalam menggunakan sistem ini, kualitas Prosedur-prosedur manajemen perubahan ( change management
security .
) dan testing
Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih tersisa, sebelum manajemen memutuskan sistem barunya dapat go-live. Audit TI: Sebelum atau Sesudah Seiring dengan makin banyaknya institusi, baik pemerintahan maupun swasta, yang mengandalkan TI untuk mendukung jalannya operasional sehari-hari, maka kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem informasi semakin meningkat. Risiko-risiko yang mungkin ditimbulkan sebagai akibat dari gagalnya
Biaya
pengembangan
sistem
melampaui
anggaran
yang
ditetapkan.
Sistem tidak dapat diimplementasikan sesuai dengan jadwal yang Sistem yang telah dibangun tidak memenuhi kebutuhan
ditetapkan.
pengguna.
nilai ekonomis terhadap jalannya operasi institusi, baik pada masa sekarang maupun masa datang.
atau memenuhi aturan yang berlaku. Untuk mengantisipasi hal itu, perusahaan menginginkan adanya assurance dari pihak yang berkompeten dan independen mengenai kondisi sistem TI yang akan atau sedang mereka gunakan. Pihak yang paling berkompeten dan memiliki keahlian untuk melakukan review tersebut adalah Auditor Sistem Informasi (Auditor TI). Pekerjaan auditor TI ini belum banyak dikenal di Indonesia . Di samping itu, jumlah tenaga auditor TI yang menyandang sertifikasi Internasional ( CISA, Certified Information System Auditor ) juga masih sangat terbatas.
Best Practice menyarankan agar dalam proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan review, baik itu sebelum atau pada saat implementasi ( pre-implementation system ), maupun setelah sistem live ( postimplementation system ). Manfaat Pre-Implementation Review:
Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai Mengetahui apakah pemakai telah siap menggunakan sistem Mengetahui apakah outcome sesuai dengan harapan manajemen.
tersebut.
Institusi mendapat masukan atas risiko-risiko yang masih ada dan Masukan-masukan tersebut dimasukkan dalam agenda
Bahan untuk perencanaan strategis dan rencana anggaran di Memberikan reasonable assurance bahwa sistem informasi telah Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah
masa datang.
diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwenang untuk melakukan pemeriksaan. Sumber : ebizzasia.com