Bab 4
Bab 4
memungkinkan
tujuan
organisasi
tercapai
secara
efektif
dengan
2. Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas
untuk menentukan lingkup tanggungjawab auditor,
3. Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup untuk
memenuhi tujuan audit,
4. Kemampuan auditor memahami kriteria yang digunakan serta sikap
independen dalam mengumpulkan bahan bukti yang diperlukan untuk
mendukung kesimpulan yang akan diambilnya.
dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem
Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Audit Sistem Informasi merupakan pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer yang digunakan telah dapat melindungi
aset milik organisasi, mampu menjaga integritas data, dapat membantu
pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya
yang dimiliki secara efisien. Audit Sistem Informasi sendiri merupakan gabungan
dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem
Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Pada dasarnya, Audit Sistem Informasi dapat dibedakan menjadi dua kategori,
yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum
(General Control). Tujuan pengendalian umum lebih menjamin integritas data
yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas
program atau aplikasi yang digunakan untuk melakukan pemrosesan data.
Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa
data di-input secara benar ke dalam aplikasi, diproses secara benar, dan
terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit
terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga
dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas
atas pengendalian-pengendalian aplikasi.
Keuntungan adanya audit antara lain :
melaporkan
manajemen.
hasil
tinjauan
dan
tindakan
berdasarkan
resiko
ke
Informasi audit harus disimpan dan dijaga sehingga sebuah aksi dapat ditelusuri.
Data audit harus dijaga dari modifikasi dan perusakan dari pihak yang tidak
bertanggung jawab.
fakta/bahan
bukti
yang
cukup,
handal,
relevan,
serta
bermanfaat.
4. Buatlah
laporan
beserta
kesimpulannya
berdasarkan
fakta
yang
dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko
serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus
direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara
jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan
managemen tinggi, dan metode audit. Metodologi audit:
1.
2.
3.
4.
5.
6.
7.
8.
prosedur audit.
o
KATEGORI AUDIT TI
Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu
Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General
Control). Tujuan pengendalian umum lebih menjamin integritas data yang
Model audit sistem informasi berbasis kendali ini didasarkan pada suatu model
fungsional sistem informasi, di mana sistem informasi dibagi dalam 2 fungsi [2],
yaitu: fungsi manajemen dan fungsi aplikasi, di mana fungsi manajemen
membungkus fungsi-fungsi aplikasi (Gambar 4.1)
Informasi
Data
Prosedur
(BD/NW)
Interoperabilitas
(HW/SW)
Pemroses
Aplikasi
Dokumen
Sistem Informasi
fakta/bahan
bukti
yang
cukup,
handal,
relevan,
serta
bermanfaat.
4) Buatlah
laporan
beserta
kesimpulannya
berdasarkan
fakta
yang
dikumpulkan.
5) Telaah apakah tujuan audit tercapai.
6) Sampaikan laporan kepada pihak yang berkepentingan.
7) Pastikan bahwa organisasi mengimplementasikan managemen risiko
serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus
direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara
jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan
managemen tinggi, dan metode audit. Metodologi audit:
1) Audit subject. Menentukan apa yang akan diaudit.
2) Audit objective. Menentukan tujuan dari audit.
3) Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang
secara spesifik/khusus akan diaudit.
4) Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang
dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk
menunjang audit, menentukan lokasi audit.
5) Audit procedures and steps for data gathering. Menentukan cara
melakukan audit untuk memeriksa dan menguji kendali, menentukan
siapa yang akan diwawancara.
6) Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
untuk
membicarakan
temuan-temuan
dan
2) Auditing
With
The
Computer.
Pendekatan
ini
digunakan
untuk
alat
bantu
dalam
melakukan
penulisan,
perhitungan,
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan,
auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik
yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat
penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor
juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami
pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada
tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau
mengundurkan diri dari penugasan audit.
mencakup : (1) pengendalian umum, (2) pengendalian aplikasi, yang terdiri dari :
(a) pengendalian secara manual, (b) pengendalian terhadap output sistem
informasi, dan (c) pengendalian yang sudah diprogram.
PENGENDALIAN APLIKASI.
PEMAHAMAN PENGENDALIAN APLIKASI
Pengendalian
aplikasi
yang
dimaksud
disini
adalah
prosedur-prosedur
Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian
aplikasi:
organisasi dan akses. Pada pengendalian organisasi, hampir sama dengan
pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika
saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat
pengendalian role based menu dibalik pengendalian akses logika, dimana hanya
pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh
administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur
perusahaan berkaitan dengan nama pengguna dan sandi nya.
Pemahaman atas Pengendalian Input
Modul ini melanjutkan pengendalian akses dari modul 3.0b, yang pertama
melihat pada proses
pengendalian input. Inti dari pengendalian input adalah memastikan data-data
yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
Beberapa pengendalian input otomatis yang biasa diprogram:
Validation checks
1. Format checks: sesuai dengan format yang ditentukan
2. Range and limit checks
3. Check digits
4. Validity checks (lookup)
5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain
yang
terhubungkan, contoh: penerimaan barang dengan tagihan
Pemahaman atas Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan
transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang
sementara maupun yang permanen dan (2) tahapan database, proses yang
dilakukan pada berkas-berkas master.
Adapun tipe pengendalian proses adalah sebagai berikut:
1. Run to run control
2. Pivot totals
3. Control/Hash totals: non numerical control
4. Control accounts
5. Data file control: menghitung instan entitas
6. Transaction validation control
7. File reconciliation control
Pemahaman atas Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis
maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.
Beberapa tipe pengendalian output:
1. Ekspektansi output (logs)
2. Kelengkapan output (misal dengan no halaman)
3. Pengendalian atas spooled output
4. Reasonableness
5. Output rutin
6. Distribusi output
7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable
8. SQL output
Pemahaman atas Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga
tidak akan
diketemukan anomali-anomali, seperti:
Anomaly penambahan
Anomaly penghapusan
Anomaly pemuktahiran/pembaruan
Fungsi manajemen mencakup: manajemen puncak, manajemen pengembangan,
manajemen operasi dan pemeliharaan, manajemen kualitas, manajemen
keamanan, dan manajemen data. Sedangkan fungsi aplikasi mencakup sub
fungsi: batas antara pemakai dan sistem aplikasi, input, pemrosesan, basis data,
komunikasi data dan output, prosedur dan dokumentasi. Sedangkan dilihat dari
fungsi aplikasi, sistem informasi dapat dimodelkan seperti pada gambar 4.2.
Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta
temuan-temuan yang telah dilaporkan dalam laporan audit.
2.
menjelaskan
bukti
audit
untuk
mendukung
kesimpulan masalah.
c) Kriteria/standar,
menjelaskan
pengendalian
yang
dan
serta
menjelaskan
sebab
akibat
aktifitas/kegiatan terkini.
e) Risiko, menjelaskan potensi dan dampak negatif terhadap
hilangnya atau tidak diterapkannya pengendalian.
f) Tanggapan
manajemen,
menjelaskan
komentar
dan
menjelaskan
saran-saran
perbaikan
dan
4. best practices lainnya (ISACA Guidelines, CISA 2007, COSO, SarbanesOxley Act, SANS) Pelaksanaan audit dilakukan dengan
Cara yang dapat dilaksanakan adalah:
1. Penyampaian kuisioner
a. Kuisioner Pengendalian Sistem Informasi
b. Kuisioner
Analisis
Pengelolaan
Teknologi
Informasi,
Management Awareness
pendukung
data center:
air
conditioning,
smoke
(hardware),
Efisiensi sistem
(Availability)
Berhubungan
dengan
ketersediaan
dukungan/layanan
terjadi
gangguan
(system downtime)
maka
berarti
tingkat
Integritas data adalah salah satu konsep dasar sistem informasi. Data
memiliki atributatribut seperti: kelengkapan, kebenaran, dan keakuratan.
Jika integritas data tidak terpelihara, maka suatu entitas tidak akan lagi
memiliki informasi/laporan yang benar, bahkan entitas dapat menderita k
kerugian
karena
pengawasan
yang
tidak
tepat
atau
keputusan-
keputusan yang salah. Faktor utama yang membuat data berharga bagi
entitas dan pentingnya untuk menjaga integritas data adalah:
a. Makna penting data/informasi bagi pengambilan keputusan adalah
peningkatan kualitas data sehingga dapat memberikan informasi bagi
para pengambil keputusan.
b. Nilai data bagi pesaing entitas, jika data tersebut berguna bagi
pesaing maka kehilangan data akan memberikan dampak buruk bagi
entitas.
Pesaing
dapat
menggunakan
data
tersebut
untuk
memberikan
dampak
positif
dan
bernilai
tambah
guna
memberikan
keyakinan
yang
cukup
bagi
para
pihak
yang
dalam
melakukan
kegiatan
usaha/bisnis
entitas
Terotomatisasi, di mana manusia sebagai operator yang menyediakan inputoutput, sedangkan komputer menjadi information processor.
Dengan demikian, model pada gambar 4.2 ini mengakomodasi sistem informasi
yang manual, semi manual maupun yang terotomatisasi dengan menggunakan
teknologi komputer.
4.1. Model Audit Sistem Informasi Berbasis Kendali
Audit sistem informasi, jika dilihat sebagai model IPO (input-proses-output),
dapat digambarkan seperti gambar 4.3.
Efficiency
(En),
apakah
dalam
mencapai
tujuan
organisasi
telah
Tujuan yang ingin dicapai sesuai dengan tujuan dari audit sistem informasi.
kendali,
serta
temuan
yang
bersifat
penyimpangan
dan
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat
diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah
ditetapkan.
6. File data komputer telah akurat, lengkap dan dijaga kerahasiaannya.
Tujuan audit tersebut diatas berkaitan dengan komponen dari sistem informasi.
Keterkaitan antara tujuan audit dan komponen sistem informasi dapat dilihat
pada gambar 1.
profesional,
hukum,
aturan,
kebijaksanaan
organisasi,
Studi Kasus
Sebuah Bank Swasta terkemuka menunjuk tim audit TI Ernst & Young untuk
melakukan review atas penerapan sistem Perbankan yang terintegrasi.
Pemeriksaan ini terbagi dalam dua fase. Pada fase pertama mencakup kegiatan,
sebagai berikut:
1. Manajemen Proyek
Melakukan review atas manajemen proyek untuk memastikan bahwa semua
outcome yang diharapkan tertuang dalam rencana proyek. Pada tahapan ini,
auditor TI melakukan review atas project charter, sumber daya yang akan
digunakan, alokasi penugasan dan analisa tahapan pekerjaan proyek.
2. Desain Proses dan Pengendalian Kontrol Aplikasi
Review mengenai desain pengendalian dalam modul-modul Perbankan tersebut,
yaitu pinjaman dan tabungan. Untuk itu dilakukan review atas desain proses
dimana auditor mengevaluasi proses, risiko dan pengendalian mulai dari tahapan
input, proses maupun output.
3. Desain Infrastruktur
Review ini mencakup analisa efektivitas dan efisiensi desain infrastruktur
pendukung (server, workstation, sistem operasi, database dan komunikasi data).
Hasil follow up dijadikan dasar oleh manajemen untuk memulai implementasi
sistem Perbankan yang terintegrasi tersebut. Berdasarkan nilai tambah yang
diberikan melalui rekomendasi pada fase pertama, perusahaan menunjuk
kembali auditor untuk melakukan review fase kedua secara paralel pada saat
implementasi dilakukan, yaitu review terhadap:
security .
Kesiapan pemakai dalam menggunakan sistem ini, kualitas
) dan testing
Auditor selanjutnya diminta memberikan saran mengenai risiko-risiko yang masih
tersisa, sebelum manajemen memutuskan sistem barunya dapat go-live.
Audit TI: Sebelum atau Sesudah
Seiring dengan makin banyaknya institusi, baik pemerintahan maupun swasta,
yang mengandalkan TI untuk mendukung jalannya operasional sehari-hari, maka
kesadaran akan perlunya dilakukan review atas pengembangan suatu sistem
informasi semakin meningkat.
Risiko-risiko
yang
mungkin
ditimbulkan
sebagai
akibat
dari
gagalnya
Biaya
pengembangan
sistem
melampaui
anggaran
yang
ditetapkan.
Sistem
yang
telah
dibangun
tidak
memenuhi
kebutuhan
pengguna.
Masukan-masukan
tersebut
dimasukkan
dalam
agenda
Sumber : ebizzasia.com