Kata Audit berasal dari bahasa Latin Audire (B.N.Tandon, 2000, p.l) yang
berarti mendengar, yaitu pada jaman dahulu apabila seorang pemilik usaha
merasa ada suatu kesalahan / penyalahgunaan, maka ia akan mendengarkan
kesaksian orang tertentu. Dengan menunjuk orang tertentu sebagai auditor yang
akan memeriksa akun perusahaan dan menyatakan pendapat mengenai akun
perusahaan tersebut serta menerbitkan laporan.
- Audit Keuangan
Audit sistem informasi adalah proses pengumpulan dan penilaian bukti - bukti
untuk menentukan apakah sistem komputer dapat mengamankan aset,
memelihara integritas data, dapat mendorong pencapaian tujuan organisasi
secara efektif dan menggunakan sumberdaya secara efisien.
- Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber
data, dan data file.
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal
hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui
apakah pekerjaan mengaudit dapat diterima, menempatkan staff audit,
menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien,
mengerti tentang masalah hukum klien dan melakukan analisa tentang prosedur
yang ada untuk mengerti tentang bisnis klien dan mengidentifikasikanresiko
audit.
Auditor melakukan kontrol test ketika mereka menilai bahwa kontrol resiko
berada pada level kurang dari maksimum, mereka mengandalkan kontrol
sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor
tidak mengetahui apakah identifikasi kontrol telah berjalan dengan efektif, oleh
karena itu diperlukan evaluasi yang spesifik.
Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus
diperhatikan adalah pengamatan harta dan kesatuan data. Beberapa jenis
subtantif tes yang digunakan adalah konfirmasi piutang, perhitungan fisik
persediaan dan perhitungan ulang aktiva tetap.
Pada fase akhir audit, eksternal audit akan menjalankan beberapa test
tambahan terhadap bukti yang ada agar dapat dijadikan laporan.
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh
sumber daya sistem informasi yang ada, yaitu Aplikasi, Informasi, Infrastruktur
dan Personil.
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama
dari ketatakelolaan IT, yaitu :
Tujuan audit sistem informasi menurut Ron Weber tujuan audit yaitu :
1. Mengamankan asset
Sama halnya dengan aktiva - aktiva yang lain, maka aktiva ini juga perlu
dilindungi dengan memasang pengendalian internal. Perangkat keras dapat
rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file
data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak
diotorisasi.
Menjaga integritas data, integritas data merupakan konsep dasar audit sistem
informasi. Integritas data berarti data memiliki atribut: kelengkapan, baik dan
dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi
tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada
tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-
langkah penting di organisasi salah sasaran karena tidak didukung dengan data
yang benar. Meskipun demikian, perlu juga disadari bahwa menjaga integritas
data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk
menjaga integritas data, dengan konsekuensi akan ada biaya prosedur
pengendalian yang dikeluarkan harus sepadan dengan manfaat yang
diharapkan.
Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam
organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa
informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah
potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan
masa mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi
organisasi dalam menjalankan aktivitasnya.
Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka
informasi yang terkait akan hilang, misalkan siapa saja nasabah yang
mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga
misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito
nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis
seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan
datanya.
- Virus virus adalah sebuah program komputer yang menempelkan diri dan
menjalankan sendiri sebuah program komputer atau sistem komputer di sebuah
disket, data atau program yang bertujuan mengganggu atau merusak jalannya
sebuah program atau data komputer yang ada di dalamnya. Virus dirancang
dengan dua tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif dan
kedua mengganggu atau merusak sistem operasi, program atau data.
Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau
hilang dicuri atau dimodifikasi.
Dalam sebuah sistem informasi, hardware, software, data dan personil adalah
merupakan sumberdaya organisasi. Beberapa organisasi bisnis mengeluarkan
dana yang cukup besar untuk investasi dalam penyusunan sebuah sistem
informasi, termasuk dalam pengembangan sumberdaya manusianya. Sehingga
diperlukan sebuah pengendalian untuk menjaga investasi di bidang ini.
Ada beberapa teknik audit untuk mengetes automated control. Auditor dapat
menggunakan tiga kategori berikut dalam menguji pengendalian biasa juga
disebut sebagai teknik audit berbantuan computer / TABK (Computer Assisted
Audit Techniques/CAAT) yang terdiri atas:
Teknik ini fokus pada testing tahapan pemrosesan computerised, logic program,
edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika
program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines
dan programme check yang memadai, maka error dan kecurangan tidak akan
mudah terjadi tanpa terdeteksi.
2.6. Auditor
b. Auditor Intern merupakan auditor yang bekerja pada suatu perusahaan dan
oleh karenanya berstatus sebagai pegawai pada perusahaan tersebut. Tugas
utamanya ditujukan untuk membantu manajemen perusahaan tempat dimana ia
bekerja.
3. Bukti Audit. Auditor akan memperoleh bukti audit yang relevan dan reliable
untuk memberikan kesimpulan rasional.
o Umumnya data base mencakup jumlah data yang banyak dan sulit
untuk ditelusuri secara manual
Manfaat GASP:
a. memungkinkan auditor memiliki tingkat independensi yang tinggi
b. mengurangi keperluan tingkat keahlian computer dan pelatihan
c. dapat mengakses berbagai catatan klien tanpa program khusus
d. memungkinkan auditor mengendalikan pelaksanaan program
e. memanfaatkan kecepatan dan keakuratan computer
Kelemahan GASP:
a. dirancang untuk kemudahan implementasi tapi mengabaikan efisiensi
b. banyak GASP hanya berfungsi pada computer tertentu
TOOLS IT AUDIT
Standard tools tersebut dikembangkan sebagai framework yang disusun
berdasarkan best pratices dari hasil riset serta pengalaman bertahun-tahun
dalam kegiatan audit TI. Framework tersebut tentunya mengalami
penyempurnaan yang berkelanjutan sebagai upaya menciptakan standar yang
semakin baik, efektif dan efisien.
Berikut ini adalah standard tools/framework yang banyak digunakan di dunia:
Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari
data-data yang diproses oleh sistem informasi yang dibangun.
Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap
informasi yang diproses oleh sistem.
Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara
hierarkis.
Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.
Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem
informasi.
Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem
informasi.
Reliability
Menitikberatkan pada kemampuan/ketangguhan sistem informasi
dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi
informasi dalam COBIT adalah pada:
Applications
Information
Infrastructure
People
Hal yang menarik dari COBIT adalah adanya versi khusus untuk
skala usaha kecil-menengah (UKM) yang disebutCOBIT Quickstart.
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Reliability
Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa
komponen-komponen yang menjadi perhatian dalam Internal Control
Integrated Framework COSO identik dengan COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi
pun dalam Internal Control Integrated Framework COSO identik
dengan COBIT.
Managers certificate
Untuk memperoleh sertifikasi ini harus menempuh sepuluh hari
pelatihan, akreditasi dari badan khusus serta lulus dari dua kali
ujian tulis dalam model uraian.
Lingkup kriteria informasi yang sering menjadi perhatian
dalam ITIL adalah:
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliance
Namun pada bagian kriteria informasi ini tidak terlalu terfokus seperti
dalam COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi
dalam ITIL identik dengan COBIT.
CoBIT
1. Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem
informasi.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses yang
terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian
sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan
informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal
disesuaikan dengan peraturan yang berlaku.
4. Komponen/domain yang dituju adalah perencanaan dan pengorganisasian,
pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.
5. Fokus pengendalian dari CoBIT adalah sisi teknologi informasi.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian
tersebut diterapkan dalam periode waktu yang sudah ditetapkan.
7. Pertanggungjawaban atas sistem pengendalian dari CoBIT ditujukan kepada
manajemen.
COSO
1. Fokus Pengguna Utama adalah manajemen.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara
umum.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian
sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta
kesesuaian dengan peraturan yang berlaku.
4. Komponen/domain yang dituju adalah pengendalian atas lingkungan,
manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan
komunikasi.
5. Fokus pengendalian dari eSAC adalah keseluruhan entitas.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian
tersebut diterapkan dalam poin waktu tertentu.
7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada
manajemen.
Jika melihat dari hal-hal tersebut maka dapat dilihat adanya persamaan sebagai
berikut:
Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian
serta pengawasan atas proses dan lingkungan.
Pertanggungjawaban ditujukan kepada manajemen.
Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku.
Analisis yang dilakukan haruslah berdasarkan standar yang umum dan diakui
secara luas. Ada beberapa standar yang telah mendapat pengakuan secara luas,
antara lainITIL, ISO/IEC 17799, COSO dan COBIT.
IT Governance
Penerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang
dengan suatu pengelolaan TI (IT Governance) dari mulai perencanaan sampai
implementasinya. Definisi IT Governance menurut ITGI adalah: Suatu bagian
terintegrasi dari kepengurusan perusahaan serta mencakup kepemimpinan dan
struktur serta proses organisasi yang memastikan bahwa TI
perusahaan mempertahankan dan memperluas strategi dan
tujuan organisasi.
Dalam studi ITGI mengenai Status Global Penguasaan IT, ada 10 masalah besar
di bidang TI yang dialami oleh para CEO dan CIO, yaitu
1. Kurangnya pandangan mengenai seberapa baik TI berfungsi.
2. Kegagalan operasional TI.
3. Masalah penempatan karyawan bidang TI.
Kegunaan TI Governance adalah untuk mengatur penggunaan TI, dan
memastikan performa TI sesuai dengan tujuan berikut ini :
1. Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan
yang dijanjikan dari penerapan TI.
2. Penggunaan TI agar memungkinkan perusahaan mengekploitasi
kesempatan yang ada dan memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung jawab.
4. Penanganan manajemen risiko yang terkait TI secara tepat.
Dalam studi ITGI mengenai Status Global Penguasaan IT, ada 10 masalah besar
di bidang TI yang dialami oleh para CEO dan CIO, yaitu
1. Kurangnya pandangan mengenai seberapa baik TI berfungsi.
2. Kegagalan operasional TI.
3. Masalah penempatan karyawan bidang TI.
4. Jumlah masalah dan kejadian dalam TI.
5. Biaya TI yang tinggi dengan perolehan kembali modal (ROI) yang rendah.
6. Kurangnya pengetahuan mengenai sistem penting.
7. Kurangnya kemampuan mengelola data.
8. Pemutusan hubungan antara strategi TI dan bisnis.
2. ISO/IEC 17799
ISO/IEC 17799 dikembangkan oleh The International Organization for
Standardization (ISO) dan The International Electrotechnical Commission (IEC)
dengan titel "Information Technology - Code of Practice for Information Security
Management". ISO/IEC 17799 dirilis pertama kali pada bulan desember 2000.
ISO/IEC 17799 bertujuan memperkuat 3 (tiga) element dasar keamanan
informasi (1), yaitu
1. Confidentiality memastikan bahwa informasi hanya dapat diakses oleh
yang berhak.
2. Integrity menjaga akurasi dan selesainya informasi dan metode
pemrosesan.
3. Availability memastikan bahwa user yang terotorisasi mendapatkan akses
kepada informasi dan aset yang terhubung dengannya ketika memerlukannya.
ISO/IEC 17799 terdiri dari 10 domain (1), yaitu:
1. Security Policy memberikan panduan dan masukan pengelolaan dalam
meningkatkan keamanan informasi.
2. Organizational Security memfasilitasi pengelolaan keamanan informasi
dalam organisasi.
3. Asset Classification and Control melakukan inventarisasi aset dan
melindungi aset tersebut dengan efektif.
4. Personnel Security meminimalisasi risiko human error, pencurian,
pemalsuan atau penggunaan peralatan yang tidak selayaknya.
5. Physical and Environmental Security
menghindarkan violation, deteriorationatau disruption dari data yang
dimiliki.
6. Communications and Operations Management memastikan penggunaan
yang baik dan selayaknya dari alat-alat pemroses informasi.
7. Access Control mengontrol akses informasi.
8. Systems Development and Maintenance memastikan bahwa keamanan
telah terintegrasi dalam sistem informasi yang ada.
9. Business Continuity Management meminimalkan dampak dari
terhentinya proses bisnis dan melindungi proses-proses perusahaan yang
mendasar dari kegagalam dan kerusakan yang besar.
10.Compliance menghindarkan terjadinya tindakan pelanggaran atas
hukum, kesepakatan atau kontrak, dan kebutuhan keamanan.
3. COSO Committee of Sponsoring Organization of the Treadway
Commission
COSO merupakan kependekan dari Committee of Sponsoring Organization of the
Treadway Commission, sebuah organisasi di Amerika yang berdedikasi dalam
meningkatkan kualitas pelaporan finansial mencakup etika bisnis, kontrol internal
dan corporate governance. Komite ini didirikan pada tahun 1985 untuk
mempelajari faktor-faktor yang menunjukan ketidaksesuaian dalam laporan
finansial.
Domain Monitoring
1. M1 Monitor and Evaluate IT Performance
2. M2 Monitor and Evaluate IInternal Controll
3. M3 Ensure Compliance with external requirements
4. M4 Provide IT Governance
Hal ini menunjukkan ISO/IEC 17799 mempunyai spektrum yang luas dalam hal
pengelolaan TI sebagaimana halnya COBIT, namun ISO/IEC 17799 tidak sedalam
COBIT dalam hal detail proses-proses yang dilakukan dalam domain-domain
tersebut.