Audit Sistem Informasi

Sejarah
audit si yang pada awalnya lebih dikenalsebagai edp audit (elctronic data
processing) telah mengalami perkembangan yang pesat. Perkembangan audit si ini
didorong oleh kemajuan teknologi dalam sistem keuangan ,meningkatnya kebutuhan
akan kontrol it, dan pengaruh dari komputer itu sendiri untuk menyelesaikan tugas-
tugas penting
sistem keungan pertama yang menggunakan teknologi komputer muncul pertama
kali tahun 1954. selama periode 1954-1960an masih menggunakan komputer.
pada tahun 1968 American Institute of Certified Public Accountants (AICPA) ikut
mendukung pengembangan EDP auditing.
sekitar periode ini para auditor bersama-sama mendirikan electronic data processing
auditors Association(EDPAA).Tujuan lembaga ini adalah untuk membuat suatu
tuntuna, prosedur dan standar bagi audit EDP.
Pada tahun 1997, edidi pertama Control Objectives diluncurkan. Publikasi ini
kemudian dikenal sebagai Control Objectives for Information and Related
Technology(CobiT).
Tahun 1994, EDPAA mengubah namanya menjadi Information System Audit(ISACA)
Definisi
 Merupakan pengumpulan dan suatu evaluasi bukti-bukti untuk menentukan
apakah sistem komputer yang dipakai bisa melindungi aset milik organisasi
 Audit sistem informasi merupakan Gabungan dari bermacam ilmu :
Manajemen Sistem Informasi ,Traditional Audit, Sistem Informasi Akuntansi,
Ilmu Komputer, dan juga Behavioral Science [1].
Dibedakan menjadi dua [2] :
 Pengendalian Aplikasi (Application Control)
Pengendalian Aplikasi
Tujuan yang dimaksudkan untuk memastikan bahwa data yang di-input secara
benar ke dalam suatu aplikasi, diproses secara benar, dan terdapat pengendalian
yang cukup atas output yang dihasilkan. Dalam audit pada aplikasi, pada umumnya,
pemeriksaan atas pengendalian umum juga dilaksanakan mengingat pengendalian
umum mempunyai kontribusi terhadap efektifitas atas pengendalian-pengendalian
aplikasi.
a. Pengertian
Pengendalian aplikasi (application controls) merupakan sistem pengendalian yang
intern (internal control) pada sistem informasi berbasis teknologi informasi yang
berhubungan dengan pekerjaan, kegiatan atau aplikasi tertentu (setiap aplikasi
mempunyai karakteristik dan kebutuhan pengendalian yang tidak sama).
b. Unsur pengendalian aplikasi
Terdiri daribeberapa unsur dalam pengendalian aplikasi, pada umumnya yaknii :
1. Pengendalian batas sistem (boundary controls) merupakan interface antara users
dengan sistem berbasis teknologi informasi. Tujuan utama boundary controls yakni:
a) Untuk mengenal identitas dan otentik / tidaknya pemakai sistem.
b) Untuk menjaga agar sumber daya sistem informasi digunakan oleh userdengan
cara yang ditetapkan.
c) Pengendalian masukan (input controls)
Bertujuan untuk memberikan keyakinan bahwa data transaksi input adalah valid,
lengkap, serta bebas dari kesalahan dan juga penyalahgunaan. Input controls
merupakan pengendalian aplikasi yang cukup penting karena input yang salah akan
menyebabkan output yang salah juga.
2. Pengendalian terhadap proses pengolahan data (process controls)
3. Pengendalian keluaran (output controls) adalah pengendalian yang dilakukan
untuk menjaga output sistem agar tepat, lengkap, dan dipakai sebagaimana
harusnya.
Yang termasuk kedalam pengendalian keluaran yakni :
a) Penelaahan dan juga pengujian terhdap hasil – hasil pengolahan
b) Rekonsiliasi keluaran terhadap masukan dan pengolahan
4. Pengendalian file atau database (file / database controls)
5. Pengendalian komunikasi aplikasi (communication controls)
 Pengendalian Umum (General Control).
Tujuan pengendalian umum supaya lebih menjamin integritas data yang berada
pada sistem komputer dan sekaligus meyakinkan integritas program maupun
aplikasi yang dipakai untuk melakukan pemrosesan data.
Pengendalian Umum
Pengendalian umum di suatu perusahaan dilaksanan terhadap aspek fisikal maupun
logikal. Aspek fisikal dilaksanakan terhadap aset-aset fisik perusahaan, sedangkan
aspek logikal pada sistem informasi di level manajemen (contoh: sistem operasi).
Pengendalian umum sendiri dikelompokan menjadi beberapa, yakni:
a. Pengendalian organisasi dan otorisasi. Yang dimaksud dengan pengendalian
organisasi merupakan pemisahan tugas dan jabatan antara pengguna sistem
(operasi) dengan administrator sistem (operasi). Dan juga bisa dilihat bahwa
pengguna hanya bisa mengakses sistem bila memang telah diotorisasi oleh
administrator.
b. Pengendalian operasi.
Operasi sistem informasi pada perusahaan juga perlu dikontrol untuk memastikan
sistem informasi tersebut bisa beroperasi dengan baik selayaknya sesuai yang
diinginkan.
c. Pengendalian perubahan.
Perubahan-perubahan yang dikerjakan terhadap sistem informasi harus terkedali,
termasuk pengendalian versi dari sistem informasi yang bersangkutan, catatan
perubahan versi, serta manajemen perubahan atas pengimplementasian sebuah
sistem informasi.
d. Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berhubungan dengan akses secara fisik terhadap
fasilitas-fasilitas sistem informasi dalam perusahaan, sedangkan akses logikal
berhungan dengan pengelolaan akses pada sistem operasi sistem tersebut (contoh:
windows).
Tujuan Audit Sistem Informasi [4].
4 (empat) tujuan audit sistem informasi, yakni :
 Mengamankan asset, aset (aktiva) yang berkaitan dengan instalasi sistem
informasi mencakup: perangkat keras , perangkat lunak , manusia , file data,
dokumentasi sistem, dan peralatan pendukung lainnya.
 Menjaga integritas data, Integritas data maksudnya data mempunyai atribut:
o Kelengkapan, baik dan bisa dipercaya, kemurnian, dan ketelitian.
o Keputusan maupun langkah-langkah penting pada organisasi salah
sasaran karena tidak didukung dengan data yang benar.
o Perlu adanya pengorbanan biaya.
o Oleh karena itu, upaya dalam menjaga integritas data, dengan
konsekuensi akan terdapat biaya prosedur pengendalian yang
dikeluarkan harus sepadan dengan manfaat yang diinginkan.
 Menjaga efektivitas sistem
Menjaga efektivitas sistem, sistem informasi dikatakan efektif jika dan hanya
jika sistem tersebut bisa mencapai tujuannya.
 Perlu adanya upaya untuk mengetahui kebutuhan pengguna sistem
yang bersangkutan (user).
 Apakah sistem dapat menghasilkan laporan atau informasi yang
bermanfaat bagi user (contoh pengambil keputusan),
 Auditor perlu mengetahui karakteristik user berikut dengan proses
pengambilan keputusannya.
 Mencapai efisiensi sumberdaya.
Dapat dikatakan efisien jika memakai sumberdaya seminimal mungkin untuk
menghasilkan output yang diperlukan. Pada nyatanya, sistem informasi
memakai berbagai sumberdaya, seperti mesin, dan segala perlengkapannya,
perangkat lunak, sarana dan komunikasi juga tenaga kerja yang
 mengoperasikan sistem tersebut. harus bersaing untuk memberdayakan
sumberdaya yang tersedia.
Auditor harus memastikan tujuan-tujuan yakni :
 Pengembangan dan perolehan program
 Modifikasi program
 Perlengkapan keamanan sistem
 Pemrosesan transaksi, file laporan dan catatan komputer lainnya tepat dan
lengkap.
 File data komputer telah tepat, lengkap dan dijaga kerahasiaannya.
Secara garis besar diperlunkannya pelaksanaan audit pada sebuah perusahaan
yang telah memiliki keahlian dalam bidang teknologi informasi [5], yakni:
A. Kerugian akibat kehilangan data.
Data yang diolah menjadi sebuah informasi, merupakan aset penting pada
organisasi bisnis saat ini. Banyak kegiatan operasi mengandalkan sebagian
informasi yang cukup penting. Informasi suatu organisasi bisnis akan menjadi
sebuah gambaran dari kondisi organisasi itu di masa lalu, kini dan masa mendatang.
Jika informasi ini hilang akan berakibat cukup fatal untuk organisasi dalam
menjalankan aktivitasnya.
B. Kerugian akibat kesalahan pemrosesan komputer.
Banyak pula di antara organisasi yang sudah saling terhubung dan terintegrasi.
Akan sangat mengkhawatirkan jika terjadi kesalahan dalam pemrosesan di dalam
sebuah komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis
sampai kepada ketergantungan terhadap kehidupan manusia.
C. Pengambilan keputusan yang salah akibat informasi yang salah.
Kualitas dari sebuah keputusan sangat bergantung pada kualitas informasi yang
disajikan untuk mengambil keputusan tersebut. Tetapi kadangkalanya informasi
yang salah akan berdampak kepada pengambilan keputusan yang salah pula.
D. Kerugian karena penyalahgunaan komputer (Computer Abused)
Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah
virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer
tanpa izin atau memakai sebuah terminal komputer dan dapat berakibat kerusakan
fisik atau mengambil data atau program komputer tanpa izin) dan atau
penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai
kewenangan memakai komputer tetapi untuk tujuan-tujuan yang tidak seharusnya).
Dampak dari kejahatan dan penyalahgunaan komputer tersebut antara lain:
• Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau
hilang dicuri dan bisa dimodifikasi dan disalahgunakan.
• Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau
hilang dicuri dan bisa dimodifikasi.
• Aktivitas operasional rutin akan mengalami gangguan.
• Kejahatan dan penyalahgunaan terhadap komputer dari waktu ke waktu semakin
meningkat, dan hampir 80% pelakunya adalah orang dalam.

E. Nilai dari software, hardware dan juga personil sistem informasi.

Pada sebuah sistem informasi, hardware, software, data dan personil merupakan
sumberdaya organisasi. Beberapa organisasi bisnis mengeluarkan dana yang cukup
besar untuk investasi pada penyusunan sebuah sistem informasi, termasuk dalam
pengembangan sumberdaya manusianya. Sehingga diperlukannya sebuah
pengendalian untuk menjaga investasi dalam bidang ini.
F. Pemeliharaan kerahasiaan informasi
Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan,
pelanggan, transaksi dan lainya adalah amat riskan jika tidak dijaga dengan benar.
Seseorang bisa saja memanfaatkan sebuah informasi untuk hal yang tidak
semestinya.
Komponen dari Sistem Informasi dan juga Tujuan Audit yang berhubungan

Waktu Pelaksanaan Audit

Audit pre-implementation system dan post-implementation system
Manfaat audit Pre-Implementation System:
 Mengetahui pemakai siap memakai sistem
 Mengetahui outcome sesuai keinginan manajemen
  Mengetahui sistem yang telah dibentuk sesuai dengan kebutuhan /
acceptance criteria.
Manfaat audit Post-Implementation System:
 Bahan perencanaan strategis dan rencana anggaran
 Memberikan reasonable assurance
 Memastikan audit trail telah diaktifkan dan bisa dipakai oleh manajemen
 Membantu penilaian initial proposed values telah terealisasi
 Mendapat masukan atas risiko dan saran penanganannya.
 Dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis
dan anggaran periode berikutnya.
Spesialis Audit Sistem Informasi
Fungsi spesialis audit sistem informasi :
 Memimpin pelaksanaan audit dan juga review prosedur sistem.
 Memimpin pelaksanaan review sistem komputer dan juga informasi
 Memimpin audit/review produktivitas sumber daya manusia pada teknologi
Informasi.
 Merencakan, menjadwal sumber daya sebagai aktifitas audit.
 Memimpin audit/review sistem informasi yang sedang dikembangkan
 Mengembangkan dan menjaga objektif dan prosedur audit organisasi.
Macam-macam audit sistem informasi menurut (P. Siagian, Sondang.2014)
1. Audit organisasi satuan kerja pengolahan data
Dengan penggunan struktur organisasi yang akurat, satuan kerja pengolahan data
akan dapat bekerja dengan tingkat efisiensi, efektivitas, dan produktifitas yang
setinggi mungkin. supaya sasaran efisiensi, efektivitas, dan produktivitas kerja
tersebut bisa dicapai, audit manajemen pengolahan data harus juga memahami
struktur organisasi perusahaan sebagai keseluruhan termasuk stratifikasi atau
jenjang pengambilan keputusan yang bisa didukung oleh satuan kerja pengolah
data.
2. Audit Proses Pengolahan Data
Pengolahan data pada umumnya terdiri dari 4 langkah utama, yakni pengumpulan
data, analisis data, penyimpanan data, penyimpanan informasi sebagai hasil olahan,
dan penelusuran untuk dipakai.
a. Pengumpulan data
Kegiatan pengumpulan data sesungguhnya bermula dari identifikasi kebutuhan
informasi dalam lingkungan data seluruh jajaran organisasi. Telah dimaklumi bahwa
data merupakan bahan mentah atau bahan baku yang diolah lebih lanjut sehingga
bentuknya berubah menjadi informasi.
b. Analisis data
Audit atas analisis data bertujuan untuk mengetahui apakah informasi yang
dihasilkan memenuhi kebutuhan berbagai pihak yang memerlukannya atau tidak.
Dengan perkataan lain untuk melihat apakah ciri-ciri yang disinggung dimuka
terpenuhi atau tidak termasuk ketepatan waktu penyampaiannya kepada yang
berkepentingan.
c. Penyimpanan Informasi
Sebagai bagian integral dari proses pengolahan data, penyimpanan informasi
penting karna paling sedikit empat pertimbangan utama, yaitu keamanan informasi,
kerahasiaan informasi, biaya penyimpanan informasi, dan akses terhadap informasi
jika diperlukan.
d. Akses kepada Informasi
Akses kepada Informasi. Berbicara tentang akses kepada infomasi, pada dasarnya
bebicara tentang dua hal. Pertama: Setiap orang yang berhak dan perlu mengakses
informasi harus dapat melakukannya dengan mudah dan dalam waktu yang singkat.
Kedua: Sistem mengakses informasi harus pula mengandung jaminan bahwa
informasi tidak mungkin atau sangat sukit diakses oleh mereka yang tidak berhak.
3. Audit Perangkat Keras
Singkatnya, audit perangkat keras bertujuan untuk menjamin bahwa
(a) konfigurasi perangkat keras yang dimiliki perusahaan sesuai dengan kebutuhan
informasi, baik untuk kepentingan rutin maupun nonrutin,
(b) aspek psikologis penggunaan teknologi informasi diperhitungkan dengan
matang, khususnya aspek pemberian kesempatan pada para manajer eselon
bawahan untuk berpartisipasi aktif dalam pengambilan keputusan,
(c) perusahaan telah mempertimbangkan Kenyataan bahwa usia satu “generasi”
perangkat keras relatif makin pendek,
(d) pengoperasian perangkat keras tersebut didukung oleh para pekerja otak
(brainware) yang memenuhi kualifikasi yang diperlukan sehingga baerbagai
komponen perusahaan, dan
(e) biaya pengadaan dan pemeliharaannya sudah merupakan beban yang paling
ringan sehingga tidak sulit bagi perusahaan untuk memikulnya.
4. Audit Perangkat Lunak
Tujuannya yakni menemukan fakta tentang apakah perangkat lunak yang dipakai
sudah termasuk perangkat yang paling tepat atau tidak, dan apakah pemakaiannya
sudah benar-benar untuk memenuhi kebutuhan informasi perusahaan. Selain itu,
penting juga diketahui apakah perangkat lunak yang dipakai oleh perusahaan
dibentuk sendiri secara intern, ataukah diperoleh dengan jalan membelinya dari
pihak lain atau vendor tertentu. Jika perangkat lunak itu dibeli dari pihak lain,makan
pihak lain atau vendor tersebut adalah perusahaan yang bonafide dan tidak boleh
menjual sebuah produk bajakan.
5. Audit Pekerja Otak (Brainware)
Audit manajemen pengolahan data dalam bidang ini memiki tujuan untuk
mengungkapkan fakta tentang kebijaksanaan dan praktek perusahaan tentang
perlakuan yang diberikannya kepada pekerja otak tersebut. Banyak jenis teknik audit
yang bisa dipakai untuk mengungkapkan fakta-fakta tersebut seperti wawancara,
kuesioner, penelitian dokumen perusahaan, dan lain sebagainya.

Sumber Bacaan:
[1] MIS_Audit_Sistem_Informasi_Komputer Oleh :Dr. Syopiansyah Jaya Putra,
M.Sis
[2] Cantika, W. N. (n.d.). Pengendalian audit sistem informasi.
[3] Wheeler, M. S. (n.d.). Audit Sistem & Teknologi Informasi Strategi Sukses
Bisnis dengan Teknologi Informasi Sistem Manajemen Keamanan Informasi
( Riyanarto Sarno ) Audit Sistem Informasi IT Auditing : Using Controls to
Protect Information Assets.
[4] Staffnew.uny.ac.id>audit SIM.(diakses pada 8 Desember 2019 pukul 12:30 )
[5] P. Siagian, Sondang.2014.Sistem Informasi Manajemen.Jakarta: PT. Bumi
Aksara.