AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI INFORMASI

Tujuan dari audit sistem informasi adalah untuk mereviu dan mengevaluasi pengendalian
internal yang melindungi sistem tersebut. Ketika menjalankan audit sistem informasi, auditor
harus memastikan enam tujuan audit berikut terpenuhi:
1) Keamanan secara keseluruhan. Tindakan pengamanan secara keseluruhan bertujuan
untuk melindungi peralatan komputer, program, komunikasi dan data dari akses yang
tidak sah, modifikasi yang tidak sah, maupun perusakan.
2) Pengembangan dan akuisisi program. Tujuan audit ini adalah memastikan bahwa seluruh
pengembangan dan akuisisi program telah dilakukan sesuai dengan otorisasi manajemen
umum maupun khusus. Peran auditor dalam pengembangan sistem harus dibatasi pada
reviu independen atas aktivitas pengembangan sistem. Untuk menjaga independensi,
auditor tidak boleh membantu mengembangkan sistem. Dua kesalahan yang mungkin
terjadi dalam pengembangan sistem adalah (1) kesalahan dalam pemrograman yang tidak
disengaja yang disebabkan karena kesalahan dalam memahami spesifikasi sistem atau
kecerobohan dalam pemrograman, dan (2) instruksi-instruksi yang tidak sah yang
dilakukan dengan sengaja untuk dimasukkan ke dalam program.
3) Modifikasi program. Tujuan audit ini adalah untuk memastikan bahwa seluruh
modifikasi program yang dilakukan telah mendapatkan persetujuan dan otorisasi dari
manajemen.
4) Pemrosesan komputer. Tujuan audit ini adalah unuk memastikan agar seluruh
pemrosesan transaksi, arsip-arsip, laporan, dan catatan komputer lainnya akurat dan
lengkap.
5) Data sumber. Tujuan audit ini adalah untuk memastikan agar sumber data yang tidak
akurat atau otorisasi yang tidak tepat dapat teridentifikasi dan tertangani sesuai dengan
dengan kebijakan manajemen.
6) Arsip data. Tujuan audit ini adalah untuk memastikan agar arsip-arsip data komputer
telah akurat, lengkap dan rahasia.
Pendekatan evaluasi pengendalian internal yang digunakan dalam audit sistem informasi
akuntansi menggunakan pendekatan audit berbasis-risiko (risk-based audit approach), yang
memberikan kerangka untuk melakukan audit sistem informasi. Dalam pendekatan audit
berbasis-risiko, langkah-langkah yang harus dilakukan terdiri dari:
1) Memahami ancaman (kecurangan dan kesalahan) yang dihadapi oleh perusahaan. Ini
merupakan suatu daftar kejadian yang tidak disengaja maupun kecurangan yang
disengaja dan kerusakan yang dialami oleh sistem tersebut.
2) Mengidentifikasi prosedur pengendalian untuk mencegah, mendeteksi atau mengoreksi
ancaman tersebut. Ini terdiri dari semua pengendalian yang diterapkan oleh manajemen
dan yang harus direviu oleh auditor serta diuji, dalam rangka mengurangi ancaman.
3) Evaluasi atas prosedur pengendalian. Pengendalian dievaluasi dengan dua cara: a. Reviu
sistem untuk menentukan apakah prosedur pengendalian sudah dijalankan. b. Uji
pengendalian yang dilakukan untuk menentukan apakah pengendalian yang sudah ada
berjalan sebagaimana yang diinginkan.
4) Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya terhadap sifat,
waktu atau keluasan prosedur audit. Jika auditor menentukan bahwa risiko pengendalian
terlalu tinggi karena sistem pengendalian tidak memadai, auditor harus mendapatkan
lebih banyak bukti, bukti audit yang lebih baik, atau bukti audit yang tepat waktu.
Kelemahan pengendalian di satu area dapat diterima jika ada pengendalian pengganti
(compensating control) di area lain.
Rancangan suatu rencana untuk mengevaluasi pengendalian internal dalam sistem
informasi menggunakan pendekatan audit berbasis-risiko digunakan untuk mengevaluasi
keenam tujuan audit. Kerangka audit untuk mengevaluasi pengendalian internal dalam sistem
informasi antara lain (1) Jenis kesalahan (errors) dan kecurangan (fraud) yang mungkin
terjadi dalam mengevaluasi tujuan audit, (2) Prosedur pengendalian yang seharusnya
diterapkan/ada, (3) Prosedur audit untuk mereviu sistem, (4) Prosedur audit untuk menguji
pengendalian, dan (5) Pengendalian pengganti yang mungkin ada.
Computer Assisted Audit Techniques (CAATS) merupakan suatu piranti lunak audit,
yang juga disebut dengan generalized audit software yang menggunakan spesifikasi yang
diberikan oleh auditor untuk menghasilkan program yang menjalankan fungsi audit, sehingga
mampu mengotomisasi atau menyederhanakan proses audit. Dua piranti lunak yang paling
sering digunakan adalah Audit Control Language (ACL) dan Interactive Data Extraction and
Analysis (IDEA). CAATS idealnya cocok untuk memeriksa arsip-arsip data yang besar untuk
mengidentifikasi catatan-catatan yang dibutuhkan untuk melakukan audit dengan seksama.
Untuk menggunakan CAATS auditor memutuskan tujuan audit, mempelajari mengenai
arsip dan database yang akan diaudit, merancang laporan audit, dan menentukan bagaimana
menghasilkan laporan tersebut. Informasi ini dicatat pada lembar spesifikasi dan dimasukkan
ke dalam sistem. Program CAATS menggunakan spesifikasi untuk menghasilkan suatu
program audit. Program tersebut menggunakan salinan data langsung perusahaan (untuk
menghindari masuknya kesalahan) untuk melakukan prosedur audit dan menghasilkan
laporan audit tertentu. CAATS tidak dapat menggantikan penilaian auditor atau
membebaskan auditor dari fase/tahapan audit lainnya. Misalnya, auditor masih harus
menyelidiki unsur-unsur dalam laporan pengecualian, verifikasi total arsip terhadap sumber
informasi lainnya, dan memerika serta mengevaluasi sampel audit.
CAATS khususnya berguna untuk perusahaan yang memiliki proses bisnis yang
kompleks, operasi yang terdistribusi, volume transaksi yang tinggi atau penggunaan aplikasi
dan sistem yang sangat beragam. Berikut ini adalah beberapa kegunaan utama CAATS: a)
Melakukan query arsip data untuk menarik catatan-catatan yang memenuhi kriteria tertentu;
b) Menghasilkan, memutakhirkan, membandingkan, mengunduh dan menggabungkan arsip;
c) Mengikhtisarkan, mengurutkan dan menyaring data; d) Mengakses data dari beragam
format yang berbeda dan mengkonversi data ke dalam format umum; e) Memeriksa catatan-
catatan untuk menguji kualitas, kelengkapan, konsistensi dan kebenarannya; f) Stratifikasi
catatan-catatan, memilih dan menganalisis sampel statistik; g) Menguji risiko-risiko tertentu
dan mengidentifikasi bagaimana cara untuk mengendalikan risiko tersebut; h) Melakukan
perhitungan, analisis statistik, dan operasi matematika lainnya; i) Melakukan uji analisis,
seperti analisis rasio dan tren, mencari pola data yang tidak diperkirakan atau data yang tidak
dapat dijelaskan yang mungkin mengindikasikan adanya kecurangan.