1.

Definisi kontrol dan audit sistem informasi

Kontrol bertujuan untuk memastikan bahwa CBIS (Computer Information System) telah
diimplementasikan seperti yang direncanakan. Secara umum, fungsi dari kontrol adalah untuk
menekan kerugian yang mungkin timbul akibat kejadian yang tidak diharapkan yang mungkin
terjadi pada sebuah sistem.
 Preventif control adalah suatu langkah pencegahan yang diambil sebelum keadaan
darurat, kehilangan, atau masalah terjadi.
 Detective control adalah sesuatu yang dirancang untuk menemukan kesalahan atau
penyimpangan setelah mereka telah terjadi (missalnya : departemen memeriksa tagihan
telepon untuk panggilan pribadi).
 Corrective control adalah program yang dibuat khusus untuk memperbaiki kesalahan
pada data yang mungkin timbul akibat gangguan pada jaringan, komputer ataupun
kesalahan user.
Audit sistem informasi atau Information System Audit disebut juga EDP Audit
(Electronc Data Processing Audit) / Computer audit merupakan proses pengumpulan dan
penilaian bukti-bukti untuk menentukan apakah software yang digunakan perusahaan dapat
mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi
secara efektif dan menggunakan sumberdaya yang dimiliki secara efisien.
Audit sistem informasi merupakan gabungan dari berbagai macam ilmu, antara lain
traditional audit, manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer, dan
behavioral science. 

2. Peran control dan audit pada suatu sistem informasi

Secara umum, fungsi dari kontrol adalah untuk menekan kerugian yang mungkin timbul
akibat kejadian yang tidak diharapkan yang mungkin terjadi pada sebuah sistem. Peran audit
sistem informasi menurut Ron Weber secara garis besar yaitu:
 Pengamanan Aset. Aset informasi suatu perusahaan seperti perangkat keras (hardware),
perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu
sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan aset
perusahaan.
 Menjaga Integritas Data. Integritas data (data integrity) adalah salah satu konsep
dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti: kelengkapan,
kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan
tidak akan lagi memilki hasil atau laporan yang benar bahkan perusahaan dapat
mengalami kerugian.

 Efektifitas Sistem. Suatu sistem informasi dapat dikatakan efektif bila sistem
informasi tersebut telah sesuai dengan kebutuhan user.

 Efisiensi Sistem. Efisiensi menjadi hal yang sangat penting ketika suatu komputer
tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi
sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat
dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber
daya informasi yang minimal.

 Mengurangi biaya investasi untuk perangkat keras dan perangkat lunak computer
pendukung sistem informasi.

Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari
ketatakelolaan IT, yaitu :
1. Conformance (Kesesuaian). Pada kelompok tujuan ini audit sistem informasi
difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu
Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan)
dan Compliance (Kepatuhan).
2. Performance(Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan
untuk memperoleh kesimpulan atas aspek kinerja, yaitu
Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Adapun peran atau manfaat dari control dan audit sistem informasi yaitu mendeteksi agar
komputer tidak dikelola secara kurang terarah, mendeteksi resiko kehilangan data, mendeteksi
resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi
salah/lambat/tidak lengkap, menjaga aset perusahaan karena nilai hardware, software dan
personil yang lazimnya tinggi, mendeteksi resiko error computer, mendeteksi resiko
penyalahgunaan komputer (fraud), dan menjaga kerahasiaan, meningkatkan pengendalian evolusi
penggunaan komputer.

3. Prinsip-prinsip dasar pada audit system informasi

 Audit dititikberatkan pada objek audit yang mempunyai peluang untuk diperbaiki.
 Prasyarat Penilaian terhadap kegiatan objek audit
 Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif
 Identifikasi individu yang bertanggungjawab terhadap kekurangan-kekurangan yang
terjadi.
 Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab·       
 Pelanggaran hukum.
 Penyelidikan dan pencegahan kecurangan

4. Standar dan panduan audit SI

Standar yang digunakan dalam mengaudit sistem informasi adalah standar yang
diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard, IS Auditing Guidance dan  IS
Auditing Procedure. Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia
adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi
(IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi,
yaitu dari ISACA atau IIA.

Model referensi sistem pengendalian intern (internal controls model/framework)

lazimnya adalah COBIT. Audit objectives dalam audit terhadap IT governance (menurut COBIT
adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility).
Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang
diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the
computer dan audit through the computer tidak relevan lagi di sini.

Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran
mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam
menjalankan tanggung jawab profesinya.
a. Kontrol Internal 
Kontrol internal adalah proses yang dipengaruhi oleh sumber daya manusia dan sistem
teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu tujuan
tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu
organisasi.
Ruang Lingkup Kontrol Internal yaitu menilai keefektifan sistem pengendalian intern,
pengevaluasian terhadap kelengkapan dan keefektifan sistem pengendalian internal yang
dimiliki organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan. Sistem
Kontrol Internal adalah suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari
struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan
perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong
efisiensi serta dipatuhinya kebijakan manajemen.

b. Control Objectives adalah Efektivitas proses departemen dalam mendukung desain dan

persetujuan kerangka pengendalian program berbasis risiko dan mengatur dan mendukung
pengumpulan dan penggunaan laporan penerima. Control Risks adalah Risiko
pengendalian(control risks) adalah salah satu material yang tidak dapat dicegah ataupun
dideteksi secara tepat pada waktunya oleh berbagai kebijakan dan prosedur struktur
pengendalian intern perusahaan.  

c. Management Control Framework adalah mengumpulkan dan menggunakan informasi untuk

mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan. Application
Control Framework adalah sistem pengendalian intern komputer yang berkaitan dengan
pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup
proses  bisnis individu atau sistem aplikasi.

d. Corporate IT governance adalah kumpulan kebijakan, proses atau aktifitas dan prosedur

untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.
Aspek Management Control Framework antara lain:
 Defining, creating, redefining, retiring data (dengan wawancara,    observasi)
 Membuat database tersedia untuk semua user
 Menginformasikan dan melayani user
 Memelihara integritas data
 Monitoring operations