Pengertian Information System Auditing

Information system auditing adalah suatu proses mengumpulkan,

mengevaluasi bahan bukti untuk menentukan apakah sistem komputer dapat menjaga keamanan aset,menjaga integritas data, membantu organisasi mencapai tujuannya dengan efektif dan penggunaan sumber daya yang efisien. Information system auditing mendukung tujuan audit tradisional, yaitu tujuan atestasi yang berfokus pada keamanan aset dan integritas data serta tujuan management yang dicapai secara efektif dan efisien.

1. Asset safeguarding Aset informasi sistem suatu perusahaan dapat berupa hardware, software, fasilitas, karyawan (pengetahuan), data files, dokumentasi sistem, dan perlengkapan. 2. Data Integrity Integritas data adalah konsep fundamental dalam information system auditing. Hal ini merupakan data yang memiliki beberapa atribut seperti ; completeness, soundness, purity dan veracity. Apabila integritas data tidak dijaga, maka perusahaan tidak dapat mempresentasikan data yang sebenarnya mengenai dirinya, dan dapat mengalami kekalahan dalam competitive advantage. Ada 3 hal utama yang dapat mempengaruhi integritas data: y Nilai dari isi informasional sebuah data dengan penilaian individual. Isi informasi data memiliki kemampuan untuk merubah level ketidakyakinan suatu keputusan. y Tingkat dimana data dibagikan kepada pengambil keputusan. Jika data dibagikan, korupsi terhadap integritas data mempengaruhi banyak pengguna. y Nilai dari data tersebut bagi kompetitor. Jika data tersebut bernilai bagi kompetitor, hilangnya data tersebut mungkin merusak posisi organisasi di pangsa pasar. 3. System effectiveness Keefektifan suatu sistem dapat dinilai setelah sistem tersebut digunakan dalam jangka beberapa waktu. Manajemen meminta postaudit untuk menentukan

apakah sistem mencapai tujuannya. Evaluasi ini menyediakan input untuk keputusan baik untuk mengingat sistem, tetapi menggunakannya atau melakukan perubahan. 4. System efficiency Suatu sistem informasi yang efisien menggunakan sumber daya secara minimum untuk mencapai tujuan yg diinginkan. Sistem informasi menggunakan berbagai macam sumber daya seperti waktu mesin, software sistem dan tenaga kerja.

Information system auditing juga memiliki tujuan lain, yaitu memastikan dan meyakinkan bahwa organisasi mematuhi beberapa peraturan dan kondisi yang ada, seperti peraturan pemerintah dan peraturan hukum lainnya.

Tahapan Pelaksanaan IS Audit

Tahap I : Merencanakan dan merancang pendekatan audit Dalam setiap audit, ada bermacam-macam cara yang dapat ditempuh seorang auditor dalam mengumpulkan bahan bukti untuk mencapai tujuan audit secara keseluruhan. Dua perhitungan yang mempengaruhi pendekatan yang akan dipilih yakni bahan bukti kompeten yang cukup harus dikumpulkan untuk memenuhi tanggungjawab professional dari auditor dan biaya pengumpulan bahan bukti yang harus dibuat seminim mungkin.

Tahap II : Melakukan pengujian pengendalian dan transaksi Jika auditor telah menetapkan tingkat resiko pengendalian yang lebih rendah berdasarkan identifikasi pengendalian, ia kemudian dapat memperkecil luas penilaiannya sampai suatu titik dimana ketepatan informasi keuangan yang berkaitan langsung dengan pengendalian itu harus diperiksa keabsahannya melalui

pengumpulan bahan bukti. Tetapi untuk membenarkan tingkat resiko lebih rendah yang ditetapkan ini, auditor harus menguji keefektifan pengendalian tersebut. Prosedur-prosedur yang termasuk dalam jenis pengujian ini biasa disebut sebagai pengujian atas pengendalian.

Tahap III : Melaksanakan prosedur analitis dan pengujian terinci atas saldo Terdapat dua kategori dalam prosedur tahap III ini yaitu prosedur analitis dan pengujian terinci atas saldo.

Tahap IV : Menyelesaikan audit dan menerbitkan laporan audit. Setelah auditor menyelesaikan semua prosedur, adalah perlu untuk menggabungkan seluruh informasi yang didapat untuk memperoleh kesimpulan menyeluruh mengenai kewajaran penyajian laporan keuangan. Ini merupakan proses yang sangat subyektif dan sangat tergantung pada pertimbangan professional auditor. Dalam prakteknya, seorang auditor secara berkesinambungan menggabungkan informasi yang didapat selama dia melaksanakan proses audit tersebut.

Penggabungan akhir hanyalah penyatuan dari penggabungan-penggabungan tadi pada saat penyelesaian penugasan. Jika audit telah dilaksanakan, kantor akuntan public harus mengeluarkan laporan audit yang menyertai laporan keuangan klien yang diterbitkan. Laporan itu haruslah memenuhi persyaratan teknis yang jelas yang dipengaruhi oleh ruang lingkup audit dan sifat temuan auditor.

Due Professional Care

Due Professional Care adalah ketelitian dan kemampuan yang kompeten yang harus dimiliki dalam melaksanakan kewajiban internal audit seperti bekerja dengan kompeten dan ketekunan, serta penggunaan keterampilan audit, pengetahuan dan penilaian berdasarkan pada pengalaman, pelatihan, kemampuan integritas, dan objektivitas. Due Professional Care harus sesuai dengan objektivitas, kompleksitas, dan materialitas atas audit yang dilakukan. Auditor harus melakukan Due Professional Care dalam pelaksanaan audit dan persiapan pembuatan laporan audit. Standar ini membutuhkan auditor yang independen untuk merencanakan dan menunjukan kinerjanya. Due Professional Care memberikan tanggung jawab kepada masing-masing profesional dalam sebuah organisasi auditor yang independen untuk mengamati standar pekerjaan lapangan dan pelaporan. Para internal auditor harus merahasiakan informasi yang mereka terima dalam menjalankan tugas mereka. Tidak boleh ada pengungkapan informasi yang

tidak sah kecuali ada persyaratan hukum atau profesional untuk melakukannya. Informasi rahasia yang diperoleh dalam audit tidak akan digunakan untuk efek keuntungan pribadi. Internal auditor harus melakukan Due Professional Care dengan

mempertimbangkan: y Sejauh mana pekerjaan yang diperlukan untuk mencapai tujuan keterlibatan ini, y Kompleksitas yang relatif, materialitas, atau hal-hal yang signifikan dalam prosedur penjaminan yang diterapkan, y Kecukupan dan keefektivitasan tata kelola, manajemen risiko, dan proses kontrol, y y Probabilitas kesalahan yang signifikan, penipuan, atau ketidakpatuhan, dan Biaya jaminan dalam kaitannya dengan manfaat yang berpotensi. Dalam melaksanakan Due Professional Care internal auditor harus mempertimbangkan penggunaan teknologi berbasis teknik audit dan analisis data lain. Internal auditor harus waspada terhadap risiko yang signifikan yang mungkin mempengaruhi tujuan, operasi, atau sumber daya. Ketika dilakukan Due Professional Care, jaminan prosedur saja tidak menjamin bahwa semua risiko yang signifikan akan dapat diidentifikasi.

Due Professional Care berlandaskan hal berikut: 1. Standar Atestasi dan Standar PSAP Standar atestasi merupakan standar audit yang terdiri dari standar umum, standar pelaporan, dan standar pekerjaan lapangan. Sedangkan standar SPAP yang dimaksud adalah: y y y PSA No.57 (Audit dalam lingkungan sistem informasi komputer) PSA No.59 (Teknik audit berbantuan komputer) PSA No.63 (Lingkungan sistem informasi komputer-komputer mikro berdiri sendiri) y PSA No.64 (Lingkungan sistem informasi komputer online computer system) y PSA No.65 (Lingkungan sistem informasi komputer database system)

2. Menurut ISACA y Audit charter Audit charter atau engagement letter adalah suatu surat yang menyatakan mengenai tanggung jawab, otoritas serta akuntanbilitas yang dimiliki oleh auditor dalam melakukan kegiatan audit. y Independence Seorang auditor harus mempertahankan sikap independen dalam

melaksanakan audit dan melakukan penilaian secara objektif. y Ethnics and Standards Auditor harus melakukan kegiatan audit berdasarkan standar yang telah ditetapkan serta menaati standar tersebut. Selain itu, apabila standar tidak sesuai dengan bukti maka harus dilakukan investigasi secara mendalam agar dapat diketahui penyebab dari penyimpangan. y Competence Seorang auditor harus memiliki kecakapan serta memahami dengan baik perusahaan yang akan diaudit. Melalui kecakapan dan pengetahuan yang memadai maka audit dalam dilakukan dengan lebih baik dan pada akhirnya internal control perusahaan menjadi lebih baik. y Planning Sebelum melakukan kegiatan audit biasanya tim audit akan melakukan perencanaan. Perencanaan ini meliputi kegiatan pemeriksaan lapangan, penetapan standar, materialitas serta melakukan perbandingan dengan laporan audit periode sebelumnya. Melalui perencanaan yang matang maka hasil dari kegiatan audit akan lebih akurat serta dapat digunakan oleh auditor sebagai acuan. y Performance of Audit Work Yang dimaksud audit work adalah melakukan kegiatan supervisi terhadap IT staff serta apabila terdapat ketidaksesuaian antara prosedur dengan kegiatan yang dilakukan maka harus dilakukan investigasi. Auditor harus

mengumpulkan bukti sehubungan dengan penyimpangan yang terjadi.

Reporting IS audit akan menghasilkan suatu laporan yang berisi tentang tujuan, ruang lingkup, waktu yang dibutuhkan untuk melakukan kegiatan audit serta hasil dari kegiatan audit. Laporan ini juga berisi tentang temuan serta rekomendasi dari pihak auditor terhadap perusahaan.

Follow Up Activities Hasil dari temuan yang dilakukan selama proses audit akan meghasilkan laporan audit serta kesimpulan. Pihak perusahaan dapat melakukan perbaikan internal kontrol maupun masalah IT dalam perusahaan agar perusahaan dapat mengalami perbaikan kinerja.

Irregularities and Illegal Acts Auditor harus melakukan pemeriksaan terhadap standar dengan perilaku yang dilakukan oleh IT staff dalam melakukan kegiatan operasi perusahaan. Selain itu, auditor harus melakukan pemeriksaan apakah perusahaan tegas dalam memberikan sangsi terhadap pelanggaran.

IT Governance Yang dimaksud dengan IT Governance adalah tanggung jawab Board of Director (BOD) dan pihak manajemen yang memberikan kepastian dan keyakinan bahwa fungsi IT dapat mendukung dan memperluas sasaran dan tujuan perusahaan. Melalui adanya IT Governance maka perusahaan akan mengalami peningkatan.

Use of Risk Assesment in Audit Planning Dalam melakukan audit, biasa tim audit akan melakukan perencanaan mengenai kegiatan audit. Dalam kegiatan perencanaan, auditor juga harus melakukan penilaian terhadap resiko yang mungkin mengancam perusahaan yang diaudit dan harus melakukan pemeriksaan secara mendalam mengenai akun yang sifatnya memiliki nilai yang material.

3. Control Objectives for Information and Related Technology (CObIT) CObIT mendukung tata kelola IT dengan memastikan bahwa IT selaras dengan bisnis, sumber daya IT digunakan secara bertanggung jawab, dan risiko yang ditimbulkan oleh IT dikelola dengan tepat.

Manajemen Fungsi IS Audit

Fungsi IS audit harus dikelola dengan baik agar menjamin bahwa tugas-tugas yang dilakukan dan dicapai oleh tim audit akan memenuhi tujuan fungsi IS audit, sambil menjaga independensi dan kompetensi audit. Selanjutnya, pengelolaan fungsi IS audit harus memastikan adanya kontribusi kepada manajemen senior mengenai efisiensi manajemen IT dan pencapaian tujuan bisnis.

Organisasi Fungsi IS Audit Jasa IS audit dapat diberikan secara eksternal atau internal. Peran fungsi IS audit secara internal harus ditetapkan dengan piagam audit. IS audit Dapat menjadi bagian dari internal audit, fungsi sebagai kelompok independen, atau terintegrasi dalam audit keuangan dan operasional untuk memberikan jaminan IT kontrol. Oleh karena itu, piagam audit dapat mencakup IS audit sebagai fungsi dukungan audit. Piagam ini harus dengan jelas menyatakan tanggung jawab manajemen, tujuan, dan otoritas kepada fungsi IS audit. Dokumen ini harus menguraikan lingkup, tanggung jawab secara menyeluruh dari fungsi audit. Tingkat tertinggi manajemen dan komite audit, jika ada, harus menyetujui piagam ini. Setelah didirikan, piagam ini hanya dapat diubah jika perubahan terjadi dan dibenarkan. ISACA mengharuskan tanggung jawab, kewenangan dan akuntabilitas fungsi IS audit didokumentasikan secara tepat dalam piagam audit atau engagement letter. Piagam audit merupakan dokumen menyeluruh yang meliputi seluruh kegiatan audit dalam entitas sementara engagement letter lebih difokuskan pada audit tertentu yang dicari akan dimulai dalam sebuah organisasi dengan tujuan tertentu. Jika jasa IS audit disediakan oleh sebuah perusahaan eksternal, ruang lingkup dan tujuan dari layanan ini harus didokumentasikan dalam kontrak formal atau pernyataan kerja antara organisasi kontraktor dengan penyedia layanan. Dalam kasus tersebut, fungsi audit internal harus independen dan dilaporkan kepada komite audit, jika ada, atau ke tingkat manajemen tertinggi seperti dewan direksi.

Manajemen Sumber Daya IS Audit Teknologi IS terus berubah. Oleh karena itu, penting bagi auditor IS mempertahankan kompetensi mereka melalui update keterampilan yang diarahkan

untuk teknik audit teknologi baru. ISACA mengharuskan auditor IS secara teknis kompeten, memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan auditor. Selanjutnya, auditor IS untuk mempertahankan kompetensi teknis melalui pendidikan profesional yang berkelanjutan. Keterampilan dan pengetahuan harus dipertimbangkan ketika merencanakan audit dan menugaskan staf untuk tugas-tugas audit tertentu. Sebaiknya, rencana pelatihan staf dibuat secara terinci setiap tahun sesuai dengan arah organisasi dalam hal teknologi dan isu-isu risiko terkait yang perlu ditangani. Hal ini harus ditinjau secara berkala untuk memastikan bahwa kebutuhan pelatihan selaras dengan organisasi. Selain itu, manajemen IS audit juga harus menyediakan sumber daya TI yang diperlukan untuk melakukan IS audit yang bersifat sangat khusus (misalnya, IS audit software).

Perencanaan Audit Perencanaan audit terdiri dari perencanaan jangka pendek dan jangka panjang. Perencanaan jangka pendek memperhitungkan isu-isu audit yang telah terjadi selama tahun berjalan, sedangkan perencanaan jangka panjang berkaitan dengan perencanaan audit yang akan memperhitungkan risiko terkait isu-isu mengenai perubahan IT dalam organisasi yang akan mempengaruhi lingkungan TI organisasi. Analisis isu-isu jangka pendek dan jangka panjang harus dilakukan setidaknya setiap tahun. Hal ini diperlukan untuk memperhitungkan isu-isu kontrol baru, perubahan dalam lingkungan risiko, teknologi dan proses bisnis, dan peningkatan teknik evaluasi. Hasil analisis untuk perencanaan kegiatan audit di masa depan harus dikaji oleh manajemen senior dan audit yang disetujui oleh komite audit, jika ada, atau alternatif oleh dewan direksi dan dikomunikasikan kepada tingkat manajemen yang relevan. Selain perencanaan tahunan keseluruhan, setiap penugasan audit individu harus cukup direncanakan. IS auditor harus memahami bahwa pertimbangan lain, seperti hasil penilaian risiko secara periodik, perubahan dalam aplikasi teknologi, dan masalah persyaratan peraturan, dapat mempengaruhi pendekatan keseluruhan untuk IS audit. Ketika merencanakan audit, auditor IS harus memiliki pemahaman

terhadap lingkungan secara keseluruhan. Hal ini harus mencakup pemahaman umum dari berbagai praktek bisnis dan fungsi yang berkaitan dengan subjek audit, serta jenis-jenis sistem informasi dan teknologi yang mendukung aktivitas. Sebagai contoh, IS auditor harus akrab dengan lingkungan peraturan di mana bisnis beroperasi. Untuk melakukan perencanaan audit, auditor IS harus melakukan langkahlangkah berikut: y Memperoleh pemahaman tentang visi dan misi , tujuan dan proses bisnis yang meliputi kebutuhan informasi dan pengolahan seperti ketersediaan, integritas, keamanan dan teknologi bisnis, dan kerahasiaan informasi. y Mengidentifikasi kebijakan, standar dan pedoman yang diperlukan, prosedur, dan struktur organisasi. y Melakukan analisis risiko untuk membantu dalam merancang rencana audit. y Melakukan review pengendalian internal terkait dengan TI. y Menentukan ruang lingkup dan tujuan audit. y Mengembangkan pendekatan audit atau strategi audit. y Menetapkan sumber daya personil untuk audit. IS auditor harus mengembangkan suatu rencana audit yang mempertimbangkan tujuan dari auditee yang relevan dengan bidang audit dan infrastruktur teknologi. IS auditor harus memiliki pemahaman tentang arsitektur teknologi informasi auditee dan arah teknologi untuk merancang rencana yang sesuai untuk teknologi, sekarang dan, jika sesuai masa depan auditee tersebut.

Pengaruh Hukum dan Peraturan Terhadap Perencanaan IS Audit Setiap organisasi, terlepas dari ukuran atau industri di mana ia beroperasi, perlu mematuhi beberapa persyaratan pemerintah dan pihak eksternal yang berkaitan dengan praktek sistem komputer dan kontrol dalam hal di mana komputer, program dan data disimpan dan digunakan. Selain itu, peraturan bisnis dapat berdampak pada cara data diproses, dikirim dan disimpan (bursa saham, bank sentral, dll). Perhatian khusus harus diberikan terhadap isu-isu di industri tersebut bahwa, secara historis, hal ini telah diatur secara ketat. Misalnya, penyedia layanan Internet

(ISP) di beberapa negara tunduk dengan undang-undang khusus mengenai kerahasiaan dan ketersediaan layanan. Auditor IS harus meninjau kebijakan privasi manajemen untuk memastikan apakah persyaratan undang-undang privasi dan peraturan yang berlaku telah dipenuhi. Dua bidang yang menjadi perhatian utama: y Persyaratan hukum (undang-undang, peraturan dan kesepakatan kontrak) ditempatkan pada audit atau IS audit, dan y Persyaratan hukum ditempatkan pada auditee dan sistem, manajemen data, pelaporan, dll Berikut ini adalah langkah-langkah IS auditor akan melakukan untuk menentukan tingkat kepatuhan organisasi: y Mengidentifikasi persyaratan yang relevan yang berhubungan dengan: o Data Elektronik, data pribadi, hak cipta, e-commerce, e-signature, dll o Praktek sistem komputer dan kontrol o Cara bagaimana komputer, program dan data yang disimpan o Organisasi atau kegiatan layanan teknologi informasi o IS audit y Dokumen dan peraturan hukum yang bersangkutan y Menilai apakah pengelolaan organisasi dan fungsi IS telah mempertimbangkan kebutuhan eksternal yang relevan dalam membuat rencana dan kebijakan pengaturan, standar dan prosedur, serta fitur aplikasi bisnis. y Mereview dokumen internal IS dalam departemen / fungsi / kegiatan yang menunjukkan kepatuhan pada hukum yang berlaku untuk industri. y Menentukan kepatuhan terhadap prosedur yang ditetapkan. y Menentukan apakah ada prosedur untuk memastikan kontrak atau perjanjian dengan penyedia layanan eksternal IT mencerminkan persyaratan hukum yang terkait dengan tanggung jawab.