Audit Sistem Informasi v3
Audit Sistem Informasi v3
Sejarah
audit si yang pada awalnya lebih dikenalsebagai edp audit (elctronic data
processing) telah mengalami perkembangan yang pesat. Perkembangan audit si ini
didorong oleh kemajuan teknologi dalam sistem keuangan ,meningkatnya kebutuhan
akan kontrol it, dan pengaruh dari komputer itu sendiri untuk menyelesaikan tugas-
tugas penting
sistem keungan pertama yang menggunakan teknologi komputer muncul pertama
kali tahun 1954. selama periode 1954-1960an masih menggunakan komputer.
pada tahun 1968 American Institute of Certified Public Accountants (AICPA) ikut
mendukung pengembangan EDP auditing.
sekitar periode ini para auditor bersama-sama mendirikan electronic data processing
auditors Association(EDPAA).Tujuan lembaga ini adalah untuk membuat suatu
tuntuna, prosedur dan standar bagi audit EDP.
Pada tahun 1997, edidi pertama Control Objectives diluncurkan. Publikasi ini
kemudian dikenal sebagai Control Objectives for Information and Related
Technology(CobiT).
Tahun 1994, EDPAA mengubah namanya menjadi Information System Audit(ISACA)
Definisi
Merupakan pengumpulan dan suatu evaluasi bukti-bukti untuk menentukan
apakah sistem komputer yang dipakai bisa melindungi aset milik organisasi
Audit sistem informasi merupakan Gabungan dari bermacam ilmu :
Manajemen Sistem Informasi ,Traditional Audit, Sistem Informasi Akuntansi,
Ilmu Komputer, dan juga Behavioral Science [1].
Dibedakan menjadi dua [2] :
Pengendalian Aplikasi (Application Control)
Pengendalian Aplikasi
Tujuan yang dimaksudkan untuk memastikan bahwa data yang di-input secara
benar ke dalam suatu aplikasi, diproses secara benar, dan terdapat pengendalian
yang cukup atas output yang dihasilkan. Dalam audit pada aplikasi, pada umumnya,
pemeriksaan atas pengendalian umum juga dilaksanakan mengingat pengendalian
umum mempunyai kontribusi terhadap efektifitas atas pengendalian-pengendalian
aplikasi.
a. Pengertian
Pengendalian aplikasi (application controls) merupakan sistem pengendalian yang
intern (internal control) pada sistem informasi berbasis teknologi informasi yang
berhubungan dengan pekerjaan, kegiatan atau aplikasi tertentu (setiap aplikasi
mempunyai karakteristik dan kebutuhan pengendalian yang tidak sama).
b. Unsur pengendalian aplikasi
Terdiri daribeberapa unsur dalam pengendalian aplikasi, pada umumnya yaknii :
1. Pengendalian batas sistem (boundary controls) merupakan interface antara users
dengan sistem berbasis teknologi informasi. Tujuan utama boundary controls yakni:
a) Untuk mengenal identitas dan otentik / tidaknya pemakai sistem.
b) Untuk menjaga agar sumber daya sistem informasi digunakan oleh userdengan
cara yang ditetapkan.
c) Pengendalian masukan (input controls)
Bertujuan untuk memberikan keyakinan bahwa data transaksi input adalah valid,
lengkap, serta bebas dari kesalahan dan juga penyalahgunaan. Input controls
merupakan pengendalian aplikasi yang cukup penting karena input yang salah akan
menyebabkan output yang salah juga.
2. Pengendalian terhadap proses pengolahan data (process controls)
3. Pengendalian keluaran (output controls) adalah pengendalian yang dilakukan
untuk menjaga output sistem agar tepat, lengkap, dan dipakai sebagaimana
harusnya.
Yang termasuk kedalam pengendalian keluaran yakni :
a) Penelaahan dan juga pengujian terhdap hasil – hasil pengolahan
b) Rekonsiliasi keluaran terhadap masukan dan pengolahan
4. Pengendalian file atau database (file / database controls)
5. Pengendalian komunikasi aplikasi (communication controls)
Pengendalian Umum (General Control).
Tujuan pengendalian umum supaya lebih menjamin integritas data yang berada
pada sistem komputer dan sekaligus meyakinkan integritas program maupun
aplikasi yang dipakai untuk melakukan pemrosesan data.
Pengendalian Umum
Pengendalian umum di suatu perusahaan dilaksanan terhadap aspek fisikal maupun
logikal. Aspek fisikal dilaksanakan terhadap aset-aset fisik perusahaan, sedangkan
aspek logikal pada sistem informasi di level manajemen (contoh: sistem operasi).
Pengendalian umum sendiri dikelompokan menjadi beberapa, yakni:
a. Pengendalian organisasi dan otorisasi. Yang dimaksud dengan pengendalian
organisasi merupakan pemisahan tugas dan jabatan antara pengguna sistem
(operasi) dengan administrator sistem (operasi). Dan juga bisa dilihat bahwa
pengguna hanya bisa mengakses sistem bila memang telah diotorisasi oleh
administrator.
b. Pengendalian operasi.
Operasi sistem informasi pada perusahaan juga perlu dikontrol untuk memastikan
sistem informasi tersebut bisa beroperasi dengan baik selayaknya sesuai yang
diinginkan.
c. Pengendalian perubahan.
Perubahan-perubahan yang dikerjakan terhadap sistem informasi harus terkedali,
termasuk pengendalian versi dari sistem informasi yang bersangkutan, catatan
perubahan versi, serta manajemen perubahan atas pengimplementasian sebuah
sistem informasi.
d. Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berhubungan dengan akses secara fisik terhadap
fasilitas-fasilitas sistem informasi dalam perusahaan, sedangkan akses logikal
berhungan dengan pengelolaan akses pada sistem operasi sistem tersebut (contoh:
windows).
Tujuan Audit Sistem Informasi [4].
4 (empat) tujuan audit sistem informasi, yakni :
Mengamankan asset, aset (aktiva) yang berkaitan dengan instalasi sistem
informasi mencakup: perangkat keras , perangkat lunak , manusia , file data,
dokumentasi sistem, dan peralatan pendukung lainnya.
Menjaga integritas data, Integritas data maksudnya data mempunyai atribut:
o Kelengkapan, baik dan bisa dipercaya, kemurnian, dan ketelitian.
o Keputusan maupun langkah-langkah penting pada organisasi salah
sasaran karena tidak didukung dengan data yang benar.
o Perlu adanya pengorbanan biaya.
o Oleh karena itu, upaya dalam menjaga integritas data, dengan
konsekuensi akan terdapat biaya prosedur pengendalian yang
dikeluarkan harus sepadan dengan manfaat yang diinginkan.
Menjaga efektivitas sistem
Menjaga efektivitas sistem, sistem informasi dikatakan efektif jika dan hanya
jika sistem tersebut bisa mencapai tujuannya.
Perlu adanya upaya untuk mengetahui kebutuhan pengguna sistem
yang bersangkutan (user).
Apakah sistem dapat menghasilkan laporan atau informasi yang
bermanfaat bagi user (contoh pengambil keputusan),
Auditor perlu mengetahui karakteristik user berikut dengan proses
pengambilan keputusannya.
Mencapai efisiensi sumberdaya.
Dapat dikatakan efisien jika memakai sumberdaya seminimal mungkin untuk
menghasilkan output yang diperlukan. Pada nyatanya, sistem informasi
memakai berbagai sumberdaya, seperti mesin, dan segala perlengkapannya,
perangkat lunak, sarana dan komunikasi juga tenaga kerja yang
mengoperasikan sistem tersebut. harus bersaing untuk memberdayakan
sumberdaya yang tersedia.
Auditor harus memastikan tujuan-tujuan yakni :
Pengembangan dan perolehan program
Modifikasi program
Perlengkapan keamanan sistem
Pemrosesan transaksi, file laporan dan catatan komputer lainnya tepat dan
lengkap.
File data komputer telah tepat, lengkap dan dijaga kerahasiaannya.
Secara garis besar diperlunkannya pelaksanaan audit pada sebuah perusahaan
yang telah memiliki keahlian dalam bidang teknologi informasi [5], yakni:
A. Kerugian akibat kehilangan data.
Data yang diolah menjadi sebuah informasi, merupakan aset penting pada
organisasi bisnis saat ini. Banyak kegiatan operasi mengandalkan sebagian
informasi yang cukup penting. Informasi suatu organisasi bisnis akan menjadi
sebuah gambaran dari kondisi organisasi itu di masa lalu, kini dan masa mendatang.
Jika informasi ini hilang akan berakibat cukup fatal untuk organisasi dalam
menjalankan aktivitasnya.
B. Kerugian akibat kesalahan pemrosesan komputer.
Banyak pula di antara organisasi yang sudah saling terhubung dan terintegrasi.
Akan sangat mengkhawatirkan jika terjadi kesalahan dalam pemrosesan di dalam
sebuah komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis
sampai kepada ketergantungan terhadap kehidupan manusia.
C. Pengambilan keputusan yang salah akibat informasi yang salah.
Kualitas dari sebuah keputusan sangat bergantung pada kualitas informasi yang
disajikan untuk mengambil keputusan tersebut. Tetapi kadangkalanya informasi
yang salah akan berdampak kepada pengambilan keputusan yang salah pula.
D. Kerugian karena penyalahgunaan komputer (Computer Abused)
Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah
virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer
tanpa izin atau memakai sebuah terminal komputer dan dapat berakibat kerusakan
fisik atau mengambil data atau program komputer tanpa izin) dan atau
penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai
kewenangan memakai komputer tetapi untuk tujuan-tujuan yang tidak seharusnya).
Dampak dari kejahatan dan penyalahgunaan komputer tersebut antara lain:
• Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau
hilang dicuri dan bisa dimodifikasi dan disalahgunakan.
• Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau
hilang dicuri dan bisa dimodifikasi.
• Aktivitas operasional rutin akan mengalami gangguan.
• Kejahatan dan penyalahgunaan terhadap komputer dari waktu ke waktu semakin
meningkat, dan hampir 80% pelakunya adalah orang dalam.
Sumber Bacaan:
[1] MIS_Audit_Sistem_Informasi_Komputer Oleh :Dr. Syopiansyah Jaya Putra,
M.Sis
[2] Cantika, W. N. (n.d.). Pengendalian audit sistem informasi.
[3] Wheeler, M. S. (n.d.). Audit Sistem & Teknologi Informasi Strategi Sukses
Bisnis dengan Teknologi Informasi Sistem Manajemen Keamanan Informasi
( Riyanarto Sarno ) Audit Sistem Informasi IT Auditing : Using Controls to
Protect Information Assets.
[4] Staffnew.uny.ac.id>audit SIM.(diakses pada 8 Desember 2019 pukul 12:30 )
[5] P. Siagian, Sondang.2014.Sistem Informasi Manajemen.Jakarta: PT. Bumi
Aksara.