Istilah auditing sistem informasi digunakan umumnya untuk menjelaskan dua jenis aktivitas yang terkait dengan komputer. Salah satunya adalah untuk menjelaskan proses mengkaji ulang dan mengevaluasi pengendalian internal dalam sebuah sistem pemrosesan data elektronik. Jenis aktivitas ini umumnya dilakukan oleh auditor selama menguji kelayakan dan dapat disebut auditing melalui komputer. Penggunaan lainnya adalah untuk menjelaskan penggunaan komputer oleh auditor untuk menjalankan beberapa kerja audit yang biasanya akan dikerjakan secara manual. Jenis aktivitas ini normalnya dilakukan selama proses pengujian substantif terhadap rekening-rekening neraca dan dapat disebut auditing dengan komputer. 1. Struktur Audit Laporan Keuangan Audit secara umum dibagi menjadi dua komponen dasar. Komponen pertama, biasa disebut audit interim, bertujuan menetapkan seberapa besar sistem pengendalian internal dapat diandalkan. Hal ini biasanya membutuhkan beberapa jenis pengujian kelayakan untuk mengonfirmasi keberadaan, menilai efektivitas, dan memeriksa kesinambungan operasi kelayakannya telah dinyatakan oleh pengendalian internal. Komponen kedua, biasa disebut audit laporan keuangan, melibatkan pengujian substantif. Pengujian bersifat substantif adalah verifikasi langsung angka-angka laporan keuangan, menempatkan keandalan pengendalian internal sebagai hasil jaminan audit interim. 2. Auditing Sekitar Komputer Secara umum, sebuah sistem akuntansi terdiri atas input, pemrosesan, dan output. Dalam pendekatan sekitar komputer, porsi pemrosesan diabaikan. Sebaliknya, dokumen-dokumen sumber memasok input pada sistem yang dipilih dan disarikan secara manual sehingga input-input tersebut dapat dibandingkan dengan outputnya. Ketika batch diproses di dalam sistem, record-record yang diterima dan ditolak hasil totalnya diakumulasi. Auditor menekankan pengendalian atas transaksi-transaksi yang ditolak, melakukan koreksi atas transaksi-transaksi tersebut, dan kemudian menyatakan kembali kelayakannya. Dengan adanya kemajuan dalam teknologi informasi, pendekatan sekitar komputer tidak lagi digunakan secara luas. 3. Auditing Melalui Komputer Auditing melalui komputer dapat didefinisikan sebagai proses verifikasi atas pengendalaian dalam sebuah sistem terkomputerisasi. Pengendalian internal terdiri dari pengendalian aplikasi serta pengendalian umum. Pengendalian umum adalah sesuatu yang relevan bagi sistem informasi itu sendiri, sebagaimana juga pada aspek pengembangan sistem TI. Pengendalian aplikasi dikaitkan dengan sistem aplikasi komputer tertentu. Audit sistem informasi yang mendalam melibatkan proses verifikasi baik pengendalian umum maupun aplikasi dalam sebuah sistem yang terkomputerisasi. 4. Auditing dengan Komputer Auditing dengan komputer adalah proses penggunaan TI (teknologi informasi) dalam sebuah auditing. TI digunakan untuk melakukan beberapa kerja audit yang biasanya dikerjakan secara manual. Manfaat potensial penggunaan teknologi sistem informasi dalam audit meliputi : Kertas kerja yang dihasilkan oleh komputer umumnya lebih dapat dibaca dan konsisten. Kertas kerja dapat juga disimpan, diakses, dan direvisi dengan mudah. Dapat menghemat waktu dengan mengurangi penelusuran, pengecekan silang, dan perhitungan rutin lainnya. Perhitungan, perbandingan, dan manipulasi data lainnya dilakukan dengan lebih akurat. Penghitungan kajian analisis dapat dilakukan dengan lebih efisien dan lingkupnya pun dapat diperluas. Informasi proyek seperti anggaran waktu dan proses pemantauan waktu aktual terhadap jumlah anggaran dapat dihasilkan dan dianalisis dengan lebih mudah. Korespondensi audit standar seperti kuesioner dan daftar nama, surat-surat proposal, dan bentuk laporan dapat disimpan dan dimodifikasi dengan mudah. Moral dan produktivitas dapat ditingkatkan dengan mengurangi waktu yang digunakan untuk tugas-tugas yang bersifat klerikal. Peningkatan efektivitas biaya dapat dicapai dengan menggunakan kembali dan memperluas aplikasi audit elektronik yang ada saat ini untuk audit-audit berikutnya. Mampu meningkatkan independensi personel sistem informasi.
B. Teknologi Auditing Sistem Informasi
1. Data Pengujian Data pengujian adalah input yang disiapkan oleh auditor yang berisi baik data yang valid maupun yang tidak valid. Sebelum memproses data pengujian, input tersebut diproses secara manual untuk menentukan output seperti apa yang diinginkan. Auditor kemudian membandingkan output data pengujian dengan hasil yang diproses secara manual. Jika hasil yang diperoleh tidak seperti yang diharapkan, auditor akan mencoba untuk menentukan penyebab perbedaan. Data pengujian dapat dilakukan dengan membuat bentuk input untuk uji transaksi fiktif atau dengan cara lainnya, dengan mengkaji ulang data input aktual dan memilih beberapa transaksi riil untuk pemrosesan sebagai data pengujian. Teknik lainnya yang jarang digunakan adalah menciptakan data pengujian dengan menggunakan generator data pengujian yang secara khusus didesain dengan program komputer untuk menciptakan data pengujian komprehensif berdasarkan parameter-parameter input yang menjelaskan sifat dasar pengujian program tersebut. 2. Pendekatan Fasilitas Uji Terintegrasi Fasilitas uji terintegrasi (ITF) adalah penggunaan data pengujian dan juga penciptaan entitas fiktif pada file utama sebuah sistem komputer. Teknik ini terintegrasi karena data pengujian diproses bersamaan dengan transaksi-transaksi riil untuk dibandingkan dengan file-file utama yang ada saat ini yang memuat entitas yang riil dan fiktif. Jadi, pemeriksaan audit dibuat sebagai bagian dari siklus pemrosesan normal, yang memastikan bahwa program yang sedang diperiksa adalah identik dengan program yang memproses data riil. 3. Simulasi Paralel Metode data pengujian dan ITF merupakan proses data pengujian melalui program riil. Simulasi paralel memproses data riil melalui pengujian atau program audit. Output yang disimulasi dan output reguler dibandingkan demi tujuan pengawasan. Jumlah pemrosesan yang berlebih yang dihasilkan oleh pengujian atau program audit tersebut biasanya dibatasi untuk bagian-bagian tertentu yang merupakan bagian utama yang ingin diaudit. 4. Perangkat Lunak Audit Perangkat lunak audit meliputi program-program komputer yang memungkinkan komputer digunakan sebagai alat auditing. Komputer diprogram untuk membaca, menyeleksi, mengekstrak, dan memproses data contoh dari file komputer. Jenis perangkat lunak audit yang biasa digunakan adalah jenis perangkat lunak audit yang telah didesain khusus, yang dikenal sebagai generalized audit software (GAS), dan paket perangkat lunak PC. Generalized audit software (GAS) didesain secara khusus untuk memungkinkan auditor dengan keahlian komputer yang tidak terlalu canggih untuk menjalankan audit yang terkait dengan fungsi-fungsi pemrosesan data. Paket-paket tersebut dapat menjalankan beberapa tugas tertentu seperti menyeleksi data sampel dari file-file, memeriksa perhitungan, dan mencari file-file untuk item-item yang tidak biasa. Perangkat lunak ini dapat pula menggabungkan beberapa tampilan khusus yang berguna bagi auditor. Paket PC software general purpose seperti perangkat lunak pengolah kata dan spreadsheet telah memiliki banyak aplikasi audit. Dan perangkat lunak untuk tujuan tertentu yang berorientasi audit telah dikembangkan secara khusus untuk digunakan dalam administrasi audit. Contohnya adalah ACL yang dipublikasikan oleh ACL Software. Perangkat lunak ini memungkinkan auditor untuk menghubungkan sebuah PC dengan mainframe atau PC klien dan kemudian mengekstrak dan menganalisis data. ACL mengakses file-file dalam bentuk aslinya tanpa perlu dikonversi terlebih dahulu. 5. Embedded Audit Routine Embedded audit routine adalah sebuah teknologi audit yang meliputi modifikasi program-program komputer demi tujuan audit. Hal ini dicapai dengan membangun rutin auditing khusus ke dalam program produksi reguler sehingga data transaksi atau beberapa subbagian darinya dapat dijadikan subjek bagi analisis audit. Salah satu teknik tersebut diberi nama embeded audit data collection. Teknik ini menggunakan satu atau lebih modul-modul yang diprogram khusus yan dilekatkan sebagai in-line code dalam kode program reguler untuk menyeleksi dan mencatat data untuk analisis dan evaluasi berikutnya. Penggunaan in-line code berarti bahwa program aplikasi menjalankan fungsi pengumpulan data audit bersamaan dengan program tersebut memproses datauntuk tujuan produksi normal. Kriteria audit untuk menyeleksi dan mencatat transaksi dengan modul-modul embedded (dilekatkan) harus disediakan oleh auditor. Dalam pendekatan yang disebut system control audit review file (SCARF), pegujian-pengujian terhadap edit-program yang ditentukan auditor untuk membatasi atau menentukan kelayakan, dimasukkan dalam program saat pertama kali program dikembangkan. 6. Extended Record Extended record adalah modifikasi program komputer untuk menyediakan sebuah rute audit secara komprehensif untuk transaksi-transaksi tertentu dengan cara mengumpulkannya dalam satu data tambahan extended record yang berkaitan dengan pemrosesan, yang biasanya tidak dikumpulkan. Karena begitu banyak langkah-langkah pemrosesan yang berbeda yang akan dikombinasikan dalam sebuah program tunggal, langkah-langkah yang mengganggu sering membuat rute audit hilang. 7. Snapshot Snapshot adalah upaya yang menyediakan gambaran komprehensif terhadap proses kerja sebuah program pada suatu titik waktu tertentu. Snapshot merupakan teknik program-debugging yang umum dikenal. Snapshot merupakan penambahan kode program yang menyebabkan program mampu mencetak isi area memori tertentu pada saat dan selama proses, ketika kode snapshot tersebut dijalankan. Sebagai peranti audit, kode snapshot dapat ditambahkan ke area program yang diinginkan oleh auditor dan dijalankan hanya untuk transaksi-transaksi yang dikecualikan untuk kepentingan uji-edit yang telah ditentukan sebelumnya. 8. Tracing Tracing adalah teknik audit lainnya yang berasal dari program bantu debugging. Tracing sebuah eksekusi program menyediakan rute rinci audit atas instruksi-instruksi yang dijalankan selama pengoperasian program. Demi kepentingan audit, tracing dapat digunakan untuk memverifikasi bahwa pengendalian internal dalam sebuah program aplikasi dapat dieksekusi ketika program tersebut memproses data pengujian. Tracing juga mengindikasikan bagian-bagian dalam kode program yang tidak dieksekusi, yaitu situasi yang di dalamnya beberapa kejadian telah menghasilkan temuan ketidak- tepatan atau modifikasi yang tidak diotorisasi pada sebuah program. 9. Dokumentasi Tinjauan Sistem Dokumentasi tinjauan sistem, seperti deskriptif naratif, flowchart, dan daftar program, mungkin merupakan teknik auditing sistem informasi yang paling tua dan masih tetap digunakan secara luas. Pendekatan ini akan cocok khususnya pada audit tahap awal sebagai persiapan untuk seleksi dan penggunaan teknologi audit langsung lainnya. Jenis kajian ulang lainnya pun memungkinkan. Seorang auditor dapat meminta personel komputer untuk melakukan dump terhadap sebuah file komputer, yaitu menyediakan bagi auditor sebuah daftar lengkap isi file. Atau, auditor dapat meminta dump daftar bahasa sumber program. Daftar ini dapat dikaji ulang secara manual oleh auditor. Janis lain program dokumentasi yang dapat diuji adalah pengoperasian dokumentasi yang dilakukan oleh banyak sistem komputer sebagai bagian rutin operasi. 10. Flowchart Pengendalian Dalam banyak kasus, dokumentasi khusus untuk kepentingan auditing dikaji ulang dan dikembangkan untuk menunjukkan sifat dasar pengendalian aplikasi dalam sebuah sistem. Dokumentasi ini disebut flowchart pengendalian. Flowchart analitik, flowchart sistem, dan teknik grafis lainnya digunakan untuk menggambarkan berbagai pengendalian dalam sebuah sistem. 11. Mapping Bukti audit yang lebih bersifat langsung yang berkaitan dengan program dapat diperoleh dengan memonitor pengoperasian sebuah program dengan paket pengukuran perangkat lunak khusus. Teknik audit ini disebut pemetaan (mapping). Perangkat lunak ini khusus digunakan untuk memonitor eksekusi sebuah program yang dilakukan dengan menghitung berapa kali setiap pernyataan dalam tiap program dieksekusi dan dengan memberikan ringkasan statistik yang berkaitan dengan penggunaan sumber daya. Pemetaan dapat digunakan secara efektif bersama-sama dengan teknik data pengujian.
C. Berbagai Jenis Audit Sistem Informasi
1. Pendekatan Umum pada Audit Sistem Informasi Hampir semua pendekatan untuk sebuah audit sistem informasi mengikuti beberapa variasi dari sebuah struktur tiga tahap. Tahap pertama terdiri atas kaji ulang awal dan evaluasi wilayah yang akan diaudit dan persiapan rencana audit. Tahap ini akan menentukan serangkaian tindakan yang akan dilakukan audit dan meliputi keputusan- keputusan yang berkaitan dengan wilayah-wilayah tertentu yang akan diinvestigasi, penggunaan tenaga kerja audit, teknologi audit yang akan digunakan, dan pengembangan anggaran waktu dan atau biaya audit itu sendiri. Tahap kedua adalah kaji ulang dan evaluasi pengendalian yang terperinci. Dalam tahap ini, upaya diarahkan pada penemuan fakta dalam bidang/wilayah yang dipilih untuk diaudit. Tahap ketiga meliputi pengujian kelayakan dan diikuti dengan analisis dan pelaporan hasil. Tahap ini menghasilkan bukti kepatuhan terhadap prosedur yang telah ditetapkan. 2. Audit Aplikasi Sistem Informasi Pengendalian aplikasi dibagi menjadi tiga wilayah umum : input, pemrosesan, dan output. Audit aplikasi biasanya meliputi pengkajian ulang pengendalian yang ada di setiap wilayah tersebut. Dan berdasarkan teknik penelusuran manual biasa dan penjaminan (vouching), seluruh teknologi audit yang dibicarakan terdahulu adalah relevan. Teknologi khusus yang digunakan akan tergantung pada kecerdasan sumber daya yang dimiliki auditor. 3. Audit Pengembangan Sistem Aplikasi Audit pengembangan sistem diarahkan pada aktivitas analisis sistem dan programer yang mengembangkan dan memodifikasi program-program aplikasi, file dan prosedur- prosedur yang terkait. Tiga wilayah umum yang menjadi perhatian audit dalam proses pengembangan sistem adalah standar pengembangan sistem adalah standar pengembangan sistem, manajemen proyek, dan pengawasan perubahan program. Standar pengembangan sistem adalah dokumentasi yang berkaitan dengan desain, pengembangan, dan implementasi sistem aplikasi. Pengembangan standar memastikan bahwa pengendalian aplikasi yag memadai adalah sesuatu yang diperhatikan, dipilih dan diimplementasikan dalam sistem aplikasi; bahwa tersedia rute audit yang memadai; dan bahwa tingkat yang sesuai dalam kemampuan untuk dapat dioperasikan dan dipelihara dicapai setelah implementasi dilakukan. Pengendalian manajemen proyek mengukur dan mengendalikan kemajuan selama pengembangan sistem aplikasi. Manajemen proyek terdiri atas perencanaan proyek dan pengawasan proyek. Pengendalian perubahan program berkaitan dengan pemeliharaan program-program aplikasi. Tujuan pengendalian adalah untuk mencegah perubahan yang melanggar kewanangan dan berpotensi menimbulkan kecurantgan terhadap program-program yang telah diterima dan diuji sebelumnya. 4. Audit Pusat Layanan Komputer Normalnya, sebuah audit terhadap pusat layanan komputer dilaksanakan sebelum audit aplikasi untuk memastikan integritas secara umum atas lingkungan yang di dalamnya aplikasi akan berfungsi. Pengendalian umum yang mengatur operasi pusat layanan komputer melengkapi pengendalian aplikasi yang dikembangkan dalam sistem aplikasi tertentu. Pengendalian umum yang mengatur operasi komputer juga membantu memastikan ketersediaan yang berkesinambungan atas sumber daya pusat layanan komputer.