Audit Atas Sistem Informasi Berbasis Teknologi Informasi
Audit Atas Sistem Informasi Berbasis Teknologi Informasi
INFORMASI
Tujuan dari audit sistem informasi adalah untuk mereviu dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika menjalankan audit sistem
informasi, auditor harus memastikan enam tujuan audit berikut terpenuhi:
Pengembangan dan akuisisi program. Tujuan audit ini adalah memastikan bahwa
seluruh pengembangan dan akuisisi program telah dilakukan sesuai dengan otorisasi
manajemen umum maupun khusus. Peran auditor dalam pengembangan sistem harus
dibatasi pada reviu independen atas aktivitas pengembangan sistem. Untuk menjaga
independensi, auditor tidak boleh membantu mengembangkan sistem. Dua kesalahan yang
mungkin terjadi dalam pengembangan sistem adalah (1) kesalahan dalam pemrograman
yang tidak disengaja yang disebabkan karena kesalahan dalam memahami spesifikasi
sistem atau kecerobohan dalam pemrograman, dan (2) instruksi-instruksi yang tidak sah
yang dilakukan dengan sengaja untuk dimasukkan ke dalam program.
Modifikasi program. Tujuan audit ini adalah untuk memastikan bahwa seluruh modifikasi
program yang dilakukan telah mendapatkan persetujuan dan otorisasi dari manajemen.
Pemrosesan komputer. Tujuan audit ini adalah unuk memastikan agar seluruh
pemrosesan transaksi, arsip-arsip, laporan, dan catatan komputer lainnya akurat dan
lengkap.
Data sumber. Tujuan audit ini adalah untuk memastikan agar sumber data yang tidak
akurat atau otorisasi yang tidak tepat dapat teridentifikasi dan tertangani sesuai dengan
dengan kebijakan manajemen.
Arsip data. Tujuan audit ini adalah untuk memastikan agar arsip-arsip data komputer telah
akurat, lengkap dan rahasia.
1. Memahami ancaman (kecurangan dan kesalahan) yang dihadapi oleh perusahaan. Ini
merupakan suatu daftar kejadian yang tidak disengaja maupun kecurangan yang disengaja
dan kerusakan yang dialami oleh sistem tersebut.
3. Evaluasi atas prosedur pengendalian. Pengendalian dievaluasi dengan dua cara:a. Reviu
sistem untuk menentukan apakah prosedur pengendalian sudah dijalankan.b. Uji
pengendalian yang dilakukan untuk menentukan apakah pengendalian yang sudah ada
berjalan sebagaimana yang diinginkan.
Kerangka audit berbasis-risiko untuk memenuhi tujuan audit ini adalah sebagai berikut:
Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
a. Pencurian piranti keras atau kerusakan piranti keras yang disengaja maupun tidak
disengaja;
b. Kehilangan, pencurian, atau akses yang tidak sah terhadap program, data dan
sumber-sumber sistem lainnya.
c. Kehilangan, pencurian atau pengungkapan yang tidak sah atas data yang sifatnya
rahasia;
d. Modifikasi yang tidak sah atau penggunaan program dan arsip data secara tidak sah;
e. Gangguan atas aktivitas-aktivitas bisnis yang utama.
i. Pemeliharaan pencegahan;
j. Firewall;
k. Asuransi atas kerusakan besar dan ganggungan aktivitas bisnis yang utama.
c. Menguji prosedur pemberian dan modifikasi atas user ID dan kata kunci;
Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pengembangan dan
akuisisi program terdiri dari:
Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak
sah.
d.Pengujiansecaramenyeluruhatasprogram-programbaru,termasukmelakukanuser-
acceptancetest;
h. Reviu atas kebijakan dan prosedur perolehan persetujuan lisensi piranti lunak;
i. Diskusi dengan manajemen, para pengguna, dan personil sistem informasi terkait
dengan prosedur pengembangan.
Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
a. Kesalahan dalam pemrograman yang tidak disengaja atau kode program yang tidak
sah.
d. Tes menyeluruh atas perubahan program, termasuk melakukan user acceptance test:
g. Perubahan yang diterapkan oleh personil yang independen dari pengguna dan
pemrogram;
b. Verifikasi bahwa komponen program yang akan dimodifikasi telah diidentifikasi dan
ada dalam daftar;
c. Verifikasi bahwa prosedur uji perubahan program dan dokumentasinya sudah sesuai
dengan standar;
d. Verifikasi bahwa pengendalian akses logis sudah diterapkan atas perubahan dalam
program;
f. Verifikasi bahwa pemisahan pengembangan, pengujian dan hasil dari setiap versi
program telah dilakukan;
h. Pengujian atas perubahan program yang tidak sah atau kesalahan dalam perubahan
program dengan menggunakan kode sumber dari program pembanding lainnya,
pemrosesan ulang atau dari simulasi paralel.
b. Pengujian independen atas perubahan program yang tidak sah atau kesalahan dalam
perubahan program.
Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pemrosesan komputer
terdiri dari:
Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
a. Kegagalan untuk mendeteksi input data yang salah, tidak lengkap atau tidak sah;
b. Penggunaan label yang tepat untuk setiap arsip internal dan eksternal;
g. Penanganan input dan output data yang efektif oleh personil pengendalian data;
h. Penyusunan daftar perubahan arsip dan ikhtisarnya untuk direviu oleh departemen
pengguna;
d. Reviu salinan daftar kesalahan, laporan batch total dan daftar perubahan arsip;
Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit atas pengendalian sumber
data terdiri dari:
Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
d. Mencatat setiap peneriman, pergerakan dan disposisi semua sumber data input;
f. Verifikasi kunci;
j. Prosedur yang efektif untuk mengoreksi dan memasukkan ulang data yang salah.
b. Verifikasi pemeliharaan yang tepat dan penggunaan catatan (log) pengendalian data;
e. Rekonsiliasi batch total dan tindak lanjut atas penyimpangan yang terjadi;
f. Menelusuri disposisi atas kesalahan yang ditandai oleh adanya pengeditan data.
Kerangka audit berbasis-risiko untuk mengevaluasi tujuan audit pengendalian atas arsip data
terdiri dari:
Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin terjadi dalam
mengevaluasi tujuan audit ini antara lain:
a. Perusakan data yang tersimpan karena eror, piranti keras dan piranti lunak yang
malfungsi, dan tindakan sabotase dan vandalisme yang disengaja;
b. Modifikasi atau pengungkapan atas data yang tersimpan secara tidak sah.
a. Penyimpanan data dalam arsip dokumen yang aman dan pembatasan akses fisik
terhadap arsip- arsip data;
c. Reviu standar untuk perlindungan atas virus, penyimpanan data off-site, dan prosedur
pemulihan sistem;
h. Rekonsiliasi total di arsip utama dengan total pengendalian yang dilakukan secara
terpisah;
Computer Assisted Audit Techniques (CAATS) merupakan suatu piranti lunak audit,
yang juga disebut dengan generalized audit software yang menggunakan spesifikasi yang
diberikan oleh auditor untuk menghasilkan program yang menjalankan fungsi audit, sehingga
mampu mengotomisasi atau menyederhanakan proses audit. Dua piranti lunak yang paling
sering digunakan adalah Audit Control Language (ACL) dan Interactive Data Extraction and
Analysis (IDEA). CAATS idealnya cocok untuk memeriksa arsip-arsip data yang besar untuk
mengidentifikasi catatan-catatan yang dibutuhkan untuk melakukan audit dengan seksama.
CAATS khususnya berguna untuk perusahaan yang memiliki proses bisnis yang
kompleks, operasi yang terdistribusi, volume transaksi yang tinggi atau penggunaan aplikasi
dan sistem yang sangat beragam. Berikut ini adalah beberapa kegunaan utama CAATS:
Melakukan query arsip data untuk menarik catatan-catatan yang memenuhi kriteria
tertentu;
Mengakses data dari beragam format yang berbeda dan mengkonversi data ke dalam
format umum;
Melakukan uji analisis, seperti analisis rasio dan tren, mencari pola data yang tidak
diperkirakan atau data yang tidak dapat dijelaskan yang mungkin mengindikasikan adanya
kecurangan.