A.

TERMINOLOGI AUDIT SISTEM INFORMASI

Kebutuhan akan pengambilan keputusan yang cepat dan akurat, persaingan yang ketat dan dunia
bisnis yang terus berkembang menuntut dukungan yang kuat dan handal dalam penggunaan
teknologi terkini. Dalam konteks ini, keberhasilan suatu organisasi akan sangat dipengaruhi oleh
kemampuannya dalam memanfaatkan teknologi informasi secara optimal. Keberhasilan auditor
internal sangat bergantung pada kemampuan mereka untuk memberikan kontribusi nilai bagi
organisasi mereka melalui penggunaan teknologi informasi secara efektif.

Pengertian secara garis besar ialah proses pengumpulan dan pengevaluasian bukti bukti untuk
membuktikan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem
pengendalian intern yang memadai, semua aktiva dilindungi dengan baik/ tidak disalah gunakan
serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem
informasi berbasis komputer.

Jadi secara lebih jelas audit sistem informasi dapat digolongkan dalam tipe atau jenis-jenis audit
sebagai berikut :

1. Audit laporan keuangan (Financial Statement Audit)

2. Audit operasional (Operafional audit)

a) Audit terhadap aplikasi komputer

 Postimplemention audit (audit setelah implementasi)

 Concurrent audit (audit secara bersama-sama)

b) General audit (audit umum)

Auditor mengevaluasi kinerja unit fungsional atau fungsi system informasi (instalasi komputer),
apakah telah dikelola dengan baik.

Pada dasarnya, Audit Sistem informasi dapat dibedakan menjadi dua kategori, yaitu Pengendalian
Aplikasi (Application Control) dan Pengendalian Umum (General Control).

B.TUJUAN AUDIT SISTEM INFORMASI

Audit Sistem informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi
informasi secara menyeluruh. Audit Sistem informasi ini dapat berjalan bersama sama dengan audit
finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada
mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit sistem
informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem
informasi dalam perusahaan itu.
Adapun tujuan audit sistem informasi menurut Ron Weber (1999,p.11 13), dapat disimpulkan secara
garis besar berbagi menjadi 5 tahap, yaitu:

1. Meningkatkan keamanan aset-aset perusahaan

2. Meningkatkan dan menjaga integritasi data

3. Meningkatkan efektifitas sistem

4. Meningkatkan efesiensi sistem

5. Ekonomis

Untuk lebih praktisnya, secara teknis ada beberapa tujuan audit sistem informasi yang pernah
dilakukan, antara lain:

a. Evaluasi atas kesesuaian

b. Evaluasi atas kelayakan struktur organisasi

c. Evaluasi atas pengelolaan personil

d. Evaluasi atas pengembangan

e. Evaluasi atas kegiatan operasional

f. Evaluasi atas kontinuitas layanan

g. Evaluasi atas kualitas pengendalian aplikasi

h. Evaluasi atas kualitas data/informasi

C. PROSES AUDIT SISTEM INFORMASI

Proses Audit dalam konteksteknologi informasi adalah memeriksa apakah sistem informasi berjalan
semestinya. Tujuh langkah proses audit sistem informasi:

1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control pracfice
yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control pracfice.
1. Audit Sistem Informasi Berbasis Resiko

Setiap organisasi dalam mencapai tujuannya menghadapi berbagai macamrisiko baik eksternal
maupun internal. Adapun Aspek-aspek dalam penilaian risiko adalah sebagai berikut:

a) Tujuan

Tujuan entitas dapat bersifat eksplisit atau implisit, biasanya tercermin dalam misi atau nilai entitas.
Tujuan ini kemudian dikaitkan dengan tujuan tingkat aktifitas. Kategori tujuan terdiri dari:

1) Tujuan operasi

2) Tujuan pelaporan keuangan

3) Tujuan kepatuhan

b) Identifikasi dan analisa risiko

Identifikasi dan analisa risiko harus bisa mencakup semua risiko yang signifikan dalam pencapaian
tujuan. Proses identifikasi dan analisa risiko biasanya berulang-ulang dan terintegrasi dalam proses
perencanaan.

1) Risiko tingkat entitas;

2) Risiko tingkat aktifitas;

3) Manajemen perubahan;

2. Audit Sistem Informasi Berbasis Kendali

Sesuai dengan standar auditing ISACA (Informafion Systems Audit and Control Associafion), selain
melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan
pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan.

3. Audit Sistem Informasi Berbasis Kendali

Sesuai dengan standar auditing ISACA (Informafion Systems Audit and Control Associafion), selain
melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan
pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan.
A. COSO

The Comitte of Sponsoring Organizafions of the treadway commission’s (COSO) dibentuk pada tahun
1985 sebagai alinasi dari 5 (lima) organisasi professional.

COSO mendefinisikan pengendalian intern sebagai, sebuah proses yang dipengaruhi oleh dewan
komisaris, manajemen dan pegawai perusahaan lainnya yang dibentuk untuk menyediakan
keyakinan yang memadai/wajar berkaitan dengan pencapaian tujuan dalam kategori berikut:

a)Efektifitas dan efisiensi aktivitas operasi.

b)Kehandalan pelaporan keuangan

c)Ketaatan terhadap hukum dan peraturan yang berlaku Pengamanan aset entitas.

COSO mendefinisikan pengendalian intern sebagai, sebuah proses yang dipengaruhi oleh dewan
komisaris, manajemen dan pegawai perusahaan lainnya yang dibentuk untuk menyediakan
keyakinan yang memadai/wajar berkaitan dengan pencapaian tujuan dalam kategori berikut:

a) Efektifitas dan efisiensi aktivitas operasi

b) Kehandalan pelaporan keuangan
c) Ketaatan terhadap hukum dan peraturan yang berlak
d) Pengamanan aset entitas

B. COBIT

Control Objecfives for Information and Related Technology (COBIT) dapat definisikan sebagai
alat pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk
pengendalian terhadap teknologi informasi yang dikembangkan oleh Informafion System Audit
and Control Associafion (ISACA) melalui lembaga yang dibentuknya yaitu Informafion and
Technology Governance Insfitute (ITGI) pada tahun 1992.

Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan mempublikasikan
suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan
dalam kegiatan bisnis sehari-hari.

C. ISO 17799

Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia jasa
teknologi informasi (TI) maupun industri lainnya, seperti: perusahaan export-import, tranportasi,
lembaga pendidikan, pemberitaan, hingga perbankan yang menggunakan fasilitas TI dan
menempatkannya sebagai infrastruktur kritikal (penting).