1. Pengertian dan Lingkup Audit Sistem Informasi serta yang membedakan Audit Sistem
Informasi dengan audit audit yang lainnya.
Pengertian Audit Sistem Informasi : proses pengumpulan dan pengevaluasian bukti untuk
menentukan apakah sistem komputer dapat melindungi aset, memelihara integritas data,
memungkinkan tujuan organisasi untuk dicapai secara efektif dan menggunakan sumber daya
secara efisien.
Ruang lingkup Audit Sistem Informasi (SI) : sebagai audit operasional terhadap fungsi sistem
informasi (IT governance), audit objective-nya adalah melakukan assessment terhadap
efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi suatu organisasi.
Berbagai jenis penugasan audit sistem informasi yang dapat dilaksanakan pada suatu organisasi,
misalnya sebagai berikut:
Untuk mengidentifikasi sistem yang ada (inventory existing systems), baik yang ada pada
tiap divisi/unit/departemen ataupun yang digunakan menyeluruh.
Untuk dapat lebih memahami seberapa besar sistem informasi mendukung kebutuhan
strategis perusahaan, operasi perusahaan, mendukung kegaitan operasional
departemen/unit/divisi, kelompok kerja, maupun para petugas dalam melaksanakan
kegiatannya.
Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan atau business
processes yang didukung dengan sistem serta teknologi informasi yang ada.
Untuk menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh sistem dalam
rangka mendukung kebutuhan para pemakainya.
Untuk mengetahui keterkaitan antara data, sistem pengolahan dan transfer informasi.
Untuk mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan.
Untuk membuat peta (map) dari information flows yang ada.
Yang membedakan Audit Sistem Informasi dengan audit lainnya adalah : lingkup audit
system informasi dibatasi pada pengendalian internal, sementara lingkup audit keuangan dibatasi
pada output system. Sebaliknya lingkup audit operasional lebih luas, melintasi seluruh aspek
manajemen system informasi.
2. Tahapan Audit Sistem Informasi :
Tahapan audit menurut Gallegos. Dalam bukunya "Audit and Control of Information System"
yang mencakup beberapa aktivitas yaitu perencanaan (Planning), pemeriksaan lapangan (Field
Work), pelaporan (Reporting) dan tindak lanjut (Follow up).
Perencanaan (Planning)
Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek
yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada
organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang
diteliti serta strategi, kebijakan-kebijakan yang terkait dengan investigasi.
Pelaporan (Reporting)
Audit Sistem Informasi - Setelah proses pengumpulan data, maka akan didapat data yang akan
diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan
dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level
dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner.
Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan
kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan
analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap).
Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan
perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan
menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya
menjadi acuhan untuk perbaikan dimasa yang akan datang.
3. Efisiensi dan Efektifitas Audit Berbasis Komputer dibandingkan Audit Manual.
Pada dasarnya, pekerjaan audit menggunakan sistem manual (yang kemudian disebut audit
manual) dengan audit menggunakan sistem berbasis komputer atau PDE (yang kemudian disebut
audit komputer) sebenarnya tidak memiliki perbedaan khusus. Audit manual maupun audit
komputer sama-sama memiliki batasan, jenis, tujuan, standar, serta substansi auditing yang sama.
Yakni memiliki pengertian sebagai sebuah kegiatan pengumpulan dan evaluasi bukti tentang
informasi untuk menentukan dan melaporkan derajat kesesuaian antara informasi tersebut
dengan kriteria yang telah ditetapkan. Dan hal tak kalah penting adalah auditing harus dilakukan
oleh orang yang kompeten dan independen. (Arens dan Loebbecke)
Meskipun memiliki jiwa yang serupa, namun tetap terdapat perbedaan antara keduanya.
Perbedaan ini hanya terletak pada pemrosesan kegiatan yang dilakukan. Audit berbasis computer
terasa lebih modern dengan adanya perbedaan cara pemrosesan informasi dengan sistem
konvensional, yakni Electronic Data Processing (PDE). Sedangkan untuk audit konvensional,
meskipun kematangan konsep sangat diutamakan, namun pdalam pelaksanaan prosesnya lebih
lambat dan repot.
Dari perbedaan mendasar tersebut dapat dijabarkan pula beberapa perbedaan dasar lainnya.
Antara lain:
1. Teknik Audit
Audit PDE menggunakan program khusus berbantuan computer, sedangkan audit manual masih
menggunakan teknik lama yang konvensional, mulai dari inspeksi, observasi, wawancara, hingga
rekonsiliasi dan lain-lain.
Audit PDE lebih bersahabat, karena paperless, waktunya lebih singkat, serta prosesnya lebih
simple daripada menggunakan sistem audit manual.
Jika audit dikerjakan menggunakan program yang sama dalam audit PDE, kemungkinan akan
terus menerus terjadi kesalahan yang sama. Namun dalam audit manual, kemungkinan terjadi
kesalahan yang berulang akan semakin kecil.
3. Audit Trail
Jejak audit yang muncul pada audit PDE bersifat jangka pendek, atau hanya bisa dibaca oleh
komputer, dimana program untuk masing-masing laporan keuangan adalah independen, sehingga
satu transaksi dapat diproses untuk beberapa tujuan, hingga laporan keuangan. Sedang untuk
audit manual, jejak audit terlihat secara fisik (jangka panjang), sehingga satu transaksi tidak
dapat berproses untuk beberapa tujuan. Selain itu, jejak fisik audit memungkinkan seseorang
berbagi informasi akuntansi tentang perusahaan kepada pihak yang tidak dikehendaki.
4. Pemisahan Tugas
Kemudahan memproses informasi melalui computer dalam audit PDE memungkinkan satu orang
mampu menguasai transaksi dari awal sampai akhir. Karena itu harus ada pengendalian
manajemen untuk mengatasi hal ini. Namun dalam audit manual, pemisahan tugas merupakan
hal wajib untuk mendapatkan opini wajar tanpa pengecualian, sehingga internal control nya lebih
terjaga.
Ketergantungan pada hardware dan software dalam penggunaan sistem audit PDE memunculkan
potensial loss yang tinggi, akibat pengelolaan input, proses, output, dan penyimpanan dat adalam
bentuk standar. Sedang untuk audit manual potensi kerugiannya lebih kecil, karena jejak audit
tersedia, serta pengelolaan input, proses, output, dan penyimpanan data yang terpisah.
6. Audit Risk
Risiko dalam audit PDE lebih besar, karena pengolahan transaksi melalui proses yang seragam,
pengolahan transaksi yang kadang tidak logis atau tidak wajar, yang hanya dapat dideteksi oleh
manusia, serta tentang kesalahan yang berulang sebagaimana telah dijelaskan dalam poin 2 di
atas.
Untuk audit PDE, internal control lebih signifikan terjadi karena adanya proses yang lebih efisien
dan efektif menggunakan program computer. Terutama dalam hal pengubahan data dan otorisasi,
audit PDE memiliki proses yang lebih mudah dan akurat.
8. Cara Audit
Cara audit pada Audit PDE ada 3 tahap, yakni audit around the computer, audit through the
komputer, serta audit with the computer. Untuk cara audit dala Audit Manual menggunakan
proses Trace Back informasi akuntansi ke bukti transaksi asalnya.
9. Bukti Audit
Pengumpulan bukti yang handal lebih sulit dilakukan dalam praktek audit PDE, begitu juga
dalam evaluasinya. Sedang dalam audit manual masih menggunakan teknik : inspeksi, observasi,
wawancara, konfirmasih, prosedur analitis, vouching, verifikasi, rekonsiliasi, dsb.
Jika akan mengaudit menggunakan sistem PDE, tentu auditor tidak hanya dituntut memiliki
kompetensi teknis tentang knowledge dan profesi nya saja, melainkan juga keahlian tentang
komputer. Berbeda dengan sistem manual yang kurang mementingkan keahlian komputer.
4. DAMPAK TEKNOLOGI INFORMASI DALAM PROSES AUDIT
Para auditor bertanggung jawab untuk mendapatkan pemahaman atas pengendalian internal,
mereka harus memiliki pengetahuan mengenai pengendalian umum dan aplikasi, apakah klien
menggunakan aplikasi TI yang sederhana atau yang kompleks. Pengetahuan akan pengendalian
umum meningkatkan kemampuan auditor untuk mengukur dan mengandalkan pengendalian
aplikasi yang efektif untuk mengurangi risiko pengendalian untuk tujuan audit yang terkait. Bagi
auditor perusahaan publik yang harus menerbitkan opini atas pengendalian intrenal terhadap
laporan keuangan, pengetahuan terhadap umum maupun pengendalian aplikasi merupakan hal
yang penting.
5. Cara Kerja, Fungsi dan Contoh dari GAS (General Audit Software)
GAS adalah perangkat lunak audit yang secara khusus didesain untuk memungkinkan auditor
melakukan fungsi pemrosesan data audit yang terkait. GAS didesain untuk memungkinkan
auditor dengan keahlian komputer yang tidak terlalu canggih untuk menjalankan audit yang
terkait dengan fungsi-fungsi pemrosesan data. Paket-paket tersebut dapat menjalankan beberapa
tugas tertentu seperti menyeleksi data sampel dari file-file, memeriksa perhitungan, dan mencari
file-file untuk item-item yang tidak biasa.
Fungsi GAS:
a. Memungkinkan auditor untuk mengakses catatan computer yang dapat dibaca untuk berbagai
macam aplikasi dan organisasi.
b. Memungkinkan auditor untuk memeriksa lebih banyak data daripada jika auditor masih
menggunakan proses manual.
c. Dapat melakukan berbagai macam fungsi audit secara cepat dan akurat, termasuk pemilihan
sample secara statistic.
d. Mengurangi ketergantungan pada nonauditing personel untuk melakukan peringkasan data,
dengan demikian auditor dapat mengelola pengendalian audit yang lebih baik.
e. Auditor hanya memerlukan pengetahuan yang cukup (tidak begitu dalam) tentang computer.
Melakukan evaluasi dan audit terhadap pembinaan terhadap mahasiswa dan alumni, hasilnya
diperoleh dari audit sistem informasi dapat dijadikan acuan pelayanan yang sesuai dengan
standar yang telah ditentukan. Dalam hal ini Domain yang digunakan dalam study kasus ini
iyalah PO8 (Mengelola Kualitas), DS5 (Memastikan Keamanan Sistem), DS10 (Mengelola
Permasalahan), DS11 (Mengelola Data)
7. Kaitan kasus pada no.6 dengan standard COBIT
Dalam pengimplementasian Audit menggunakan standard COBIT penulis menjabarkan Domain
yang digunakan seperti berikut ini :
DS11.4 Pemusnahan
Setelah dilakukannya proses Audit diketahui bahwa Cobit berorientasi pada proses, dimana
secara praktis COBIT dijadikan suatu standar panduan untuk membantu mengelola suatu
organisasi mencapai tujuannya dengan memanfaatkan IT, Untuk melakukan audit ini
menggunakan proses PO8 pada domain Planning and Organisation DS5, DS10 dan DS11 pada
domain Deliver and Service.