Standar Audit Sistem Informasi

Presentasi berjudul: "Standar Audit Sistem Informasi"— Transcript presentasi:

1 Standar Audit Sistem Informasi

2 Tujuan Audit Effectiveness Efficiency Confidentiality Integrity
Availability Compliance Reliability

3 Tujuan Audit Effectiveness
“Deals with information being relevant and pertinent to the business process as well as being delivered in a timely, correct, consistent, and usable manner.” Berhubungan dengan informasi yang relevan dan berhubungan dengan proses bisnis, yang disampaikan dalam waktu yang tepat bener, konsisten, dan dapat digunakan. Efficiency “Concerns the provision of information through the optimal (most productive and economical) use of resources.” Berhubungan dengan penyediaan informasi melalui penggunaan sumber daya yang optimal (paling produktif dan ekonomis). Confidentiality “Concerns the protection of sensitive information from unauthorized disclosure.” Berhubungan dengan perlindungan informasi yang bersifat sensitif dari pembeberan rahasia tanpa disertai otoritas.

4 Tujuan Audit Integrity
“Relates to the accuracy and completeness of information as well as to its validity in accordance with business value and expectations.” Berhubungan dengan ketepatan dan kelengkapan dari suatu informasi serta keabsahan informasi tersebut dalam hubungannya dengan nilai-nilai bisnis dan harapan-harapannya. Availability “Relates to information being available when required by the business process now and in the future. It also concerns the safeguarding of necessary resources and associated capabilities.” Berhubungan dengan ketersediaan informasi ketika dibutuhkan oleh proses bisnis sekarang dan di masa yang akan datang. Hal ini juga mencakup pengamanan terhadap sumber daya dan kemampuan yang terkait.

5 Tujuan Audit Compliance
“Deals with complying with the laws, regulations, and contractual arrangements to which the business process is subject-that is, externally imposed business criteria, as well as internal policies” Berhubungan dengan mematuhi hukum, peraturan, dan pengaturan kontrak dimana proses bisnis merupakan subjeknya, dikenakan secara eksternal terhadap kriteria bisnis, dan kebijakan-kebijakan internal. Reliability “Relates to the provision of appropriate information for management to operate the entity and exercise its fiduciary and governance responsibilities.” Berhubungan dengan penyediaan informasi-informasi yang sesuai dengan pihak manajemen untuk menjalankan entitasnya dan mempraktekan tanggung jawab pemerintahannya.

6 Pemetaan audit SI pada konstruksi pertanyaan
Who, siapa auditornya, kualifikasi, auditor intern atau ekstern What, teknik audit yang akan dilakukan: arround, through the computer How, bagaimana metodologinya whit the computer atau manual saja dalam audit avidence collection and evaluation juga dalam approach atau pendekatan: transactional base, system base, ataukah risk base audit Why, mengapa perlu dilakukan audit When, kapan masing-masing sebaiknya dilakukan Where, pada fungsi yang mana dilakukan pemeriksaan Which, apa audit objective ny, area apa saja yang perlu diperiksa dan bahan bukti apa yang perlu dikumpulkan

7 Makin perlu Audit TI Audit TI makin diperlukan sehubungan dengan resiko yang semakin tinggi dibidang sistem berbasis teknologi informasi, yaitu: Resiko penggunaan teknologi informasi secara tidak langsung (tidak tepat) Kesalahan berantai atau pengulangan kesalahan secara cepat/konsisten pada sistem berbasis komputer Ketidakmampuan menterjemahkan kebutuhan (sistem tidak sesuai) Konsentrasi tanggungjawab, antara lain konsentrasi data pada satu lokasi atau orang-orang TI Kerusakan sistem kompunikasi yang dapat berakibat pada proses atau data. Data input atau informasi bisa saja tidak akurat, kurang mutakhir, palsu Ketidakmampuan mengendalikan teknologi Akses sistem ayang tidak terkendali

8 Metode Audit Sistem Informasi
Audit disekitar komputer (Audit Around The Computer) Audit melalui komputer (Audit Through The Computer) Audit dengan komputer (Audit With The Computer)

9 AUDIT AROUND THE COMPUTER
Audit around the computer dilakukan pada saat: Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat mata dan dilihat secara visual. Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.

10 AUDIT AROUND THE COMPUTER
Kelebihan: Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam. Tidak harus mengetahui seluruh proses penanganan sistem. Kelemahan: Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual. Tidak membuat auditor memahami sistem komputer lebih baik. Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem. Lebih berkenaan dengan hal yang lalu daripada audit yang preventif. Kemampuan komputer sebagai fasilitas penunjang audit mubadzir. Tidak mencakup keseluruhan maksud dan tujuan audit.

11 Pengertian Audit through the computer
Audit through the computer adalah dimana auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba proses program dan sistemnya atau yang disebut dengan white box, sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui sistem bagaimana sistem dijalankan pada proses tertentu. Audit around the computer dilakukan pada saat: Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.

12 Audit through the computer
Kelebihan: Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif. Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi. Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer. Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya. Kelemahan: Biaya yang dibutuhkan relative tinggi karena jumlaj jam kerja yang banyak untuk dapat lenih memahami struktur pengendalian intern dari pelaksanaan system aplikasi. Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem.

13 AUDIT AROUND THE COMPUTER
AUDIT THROUG THE COMPUTER Sistem harus sederhana dan berorientasi pada sistem batch. Pada umumnya sistem batch komputer merupakan suatu pengembangan langsung dari sistem manual. Melihat keefektifan biaya. Seringkali keefektifan biaya dalam Audit Around The Computer pada saat aplikasi yang digunakan untuk keseragaman kemasan dalam program software. Auditor harus besikap userfriendly. Biasanya pendekatan sederhana yang berhubungan dengan audit dan dapat dipraktekkan oleh auditor yang mempunyai pengetahuan teknik tentang komputer Volume input dan output. Input dari proses sistem aplikasi dalam volume besar dan output yang dihasilkan dalam volume yang sangat besar dan luas. Pengecekan langsung dari sistem input dan output yang sulit dikerjakan. Pertimbangan efisiensi. Karena adanya pertimbangan keuntungan biaya, jarak yang banyak dalam uji coba penampakan audit adalah biasa dalam suatu sistem.

14 Audit With The Computer
Pendekatan ini dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian substantif atas file dan record perusahaan. Software audit yang digunakan merupakan program komputer auditor untuk membantu dalam pengujian dan evaluasi kehandalan data, file dan record perusahaan. Keunggulan menggunakan pendekatan ini adalah dapat melaksanakan tugas audit yang terpisah dari catatan klien yaitu dengan mengambil copy data atau file untuk di test dengan komputer lain. Kelemahannya adalah upaya dan biaya untuk pengembangan relatif besar.

15 Metode Audit Audit Around The Computer Audit Through The Computer
Audit With The Computer

16 Standar profesional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya. Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan (dalam hal akuntansi di Indonesia, organisasi profesi itu ialah Ikatan Akuntan Indonesia, IAI).

17 Standar prosedur operasional
Standard operating procedures (SOP) adalah suatu perangkat instruksi/ langkah-langkah yang dibakukan untuk menyelesaikan suatu prosedur kerja rutin tertentu. Prosedur tersebut memberikan acuan tentang langkah-langkah yang benar dan terbaik berdasarkan konsensus bersama untuk melaksanakan kegiatan/ tugas atau menjalankan fungsi tertentu sesuai bidang profesinya.

18 Standar Pemeriksaan Akuntan Publik
Standar Pemeriksaan Akuntan Publik (SPAP), khususnya dalam kaitannya dengan general audit adalah: Standar Umum Standar Pekerjaan Lapangan Standar Pelaporan

19 Standar Umum Audit harus dilaksanakan oleh sesorang atau lebih yang memiliki keahlian dan pelatihan teknis cukup sebagai auditor. Dalam semua hal yang berhubungan dengan penugasan, independensi sikap mental harus dipertahankan oleh auditor. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan seksama.

20 Standar Pekerjaan Lapangan
Pekerjaan harus dilaksanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi dengan semestinya. Pemahaman yang memadai atas struktur pengendalian intern harus diperoleh untuk merencanakan audit dan menentukan sifat, saat, dan lingkup pengujian yang harus dilakukan. Bukti audit kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, pengajuan pertanyaan dan konfirmasi sebagai dasar yang memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit.

21 Standar Pelaporan Laporan audit harus menyatakan apakah laporan keuangan telah disusun sesuai dengan prinsip akuntansi yang berlaku umum. Laporan audit harus menunjukkan keadaan yang ada didalamnya prinsip akuntansi tidak secara konsisten diterapkan dalam penyusunan laporan keuangan periode berjalan dalam hubungannya dengan prinsip akuntansi yang diterapkan dalam periode sebelumnya. Pengungkapan informatif dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan lain dalam laporan audit. Laporan audit harus memuat suatu pernyataan pendapat mengenai laporan keuangan secara keseluruhan atau suatu asersi bahwa pernyataan demikian tidak dapat diberikan. Jika pendapat secara keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan. Dalam semua hal yang mana auditor dihubungkan dengan laporan keuangan, laporan auditor harus memuat petunjuk yang jelas mengenai sifat pekerjaan auditor, jika ada, dan tingkat tanggung jawab yang dipikulnya.

22 Terkait Audit SI PSA Nomor 57 PSA Nomor 59 PSA Nomor 63 PSA Nomor 64
Bina Nusantara University

23 ISACA Standards/Guidelines for IS Auditing

24 ISACA IS Auditing Standards
The specialized nature of information systems auditing and the skills and knowledge necessary to perform such audits require globally applicable standards that pertain specifically to information systems auditing ISACA functions is to provide information to support knowledge requirement Bina Nusantara University

25 ISACA IS Auditing Standards objectives
Information system auditors of the minimum level of acceptable performance required to meet the professional responsibilities set out in the Code of Professional Ethics for information systems auditors Management and other interested parties of the profession’s expectations concerning the concerning the work of audit practitioners

26 The framework of ISACA Standards define mandatory requirements for IS auditing and reporting Guidelines provide guidance in applying IS Auditing Standards. The IS auditor should consider them in determining how to achieve implementation of the above standards, use professional judgment in their application and be prepared to justify any departure Procedures provide examples of procedures an IS auditor might follow in an audit engagement. The procedure documents provide information on how to meet the standards when completing information systems auditing work, but do not set requirements Bina Nusantara University

27 Standards, Guidelines and procedures
Standards defined by ISACA are to be followed by the IS auditor. Guidelines provide assistance on how the auditor can implement standards in various audit assignment. Procedures provide the examples of steps the auditor may follow in specific audit assignment so as to implement the standards. However, the IS auditor should use professional judgment when using guidelines and procedures. Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor. Pedoman memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit. Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar. Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.

28 ISACA IS Auditing Procedures
Procedures developed by the ISACA Standards Board provide examples of possible process an IS auditor might follow in an audit engagement. In determining the appropriateness of any specific procedure, IS auditor should apply their own professional judgment to the specific circumstances. The procedure documents provide information on how to meet the standards when performing IS auditor work, but do not set requirements.

29 IS Auditing Practices and Techniques
Internal Control Performing an IS audit Audit Programs Audit Methodologies Audit Objectives Computer Assisted Audit Techniques Communicating Audit Results Audit Documentation

30 Audit procedures and steps for data gathering
Audit Methodologies Audit subject Audit objective Audit scope Preaudit planning Audit procedures and steps for data gathering

31 Audit Methodologies Procedures for evaluating the test or review results Procedures to communication with management Audit report preparation

32 Standar Audit Sistem Informasi
Standard Audit Sistem Informasi menurut ISACA (Information System Audit and Control Association) : S1 Audit Charter S2 Independence S3 Professional Ethics and Standards S4 Professional Competence S5 Planning S6 Performance of Audit Work S7 Reporting S8 Follow up Activities untuk mendukung hasil pelaporan. S9 Irregularities and Illegal Acts S10 IT Governance S11 Use of Risk Assessment in Audit planning S12 Audit Materiality S13 Using the Work of Other Experts S14 Audit Evidence

33 ISACA (Information System Audit and Control Association)
S1 Audit Charter Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis. Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.

34 ISACA (Information System Audit and Control Association)
S2 Independence Professional Independence Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan. Organisational Independence Fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan.

35 ISACA (Information System Audit and Control Association)
S3 Professional Ethics and Standards Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit. Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.

36 ISACA (Information System Audit and Control Association)
S4 Professional Competence Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit. Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.

37 ISACA (Information System Audit and Control Association)
S5 Planning Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku. Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.

38 ISACA (Information System Audit and Control Association)
S6 Performance of Audit Work Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada. Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada. Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.

39 ISACA (Information System Audit and Control Association)
S7 Reporting Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit. Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan. Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit. Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.

40 ISII Ikatan Auditor Sistem Informasi Indonesia (IASII) didirikan 20 Mei 2004 di Jakarta. Tujuan didirikannya IASII adalah untuk: Menghimpun dan menggalang masyarakat yang peduli dan berkepentingan dengan terselenggaranya pemeriksaan, pengendalian intern, dan pengamanan SI. Sebagai upaya untuk mendorong tumbuhnya tata-kelola yang baik dalam pemanfaatan sistem informasi pada sektor publik, entitas swasta, dan masyarakat pada umumnya.

41 Tugas Cari artikel berkaitan dengan Kode Etik dan Standar Profesional yang disusun oleh IASII (Ikatan Auditor Sistem Informasi Indonesia)

42 Diskusi Jelaskan perbedaan antara IS Auditing Standard, IS Auditing Guidelines, dan IS Auditing Procedures yang disusun oleh ISACA, dan jelaskan hubungan keterkaitan di antara ketiganya! Sebutkan tujuan atau alasan mengapa ISACA menyusun kode etik Auditor SI. Sebutkan tujuan/ alasan mengapa ISACA menyusun IS Auditing Standard, IS Auditing Guidelines, dan IS Auditing Procedures.

43 Diskusi Jelaskan mengapa IS Auditing Standard, IS Auditing Guidelines, dan IS Auditing Procedures yang disusun oleh ISACA selalu direview secara periodik dan secara terus-menerus disempurnakan? Sebutkan tanggal terakhir buletin ISACA tentang IS Auditing Standard, IS Auditing Guidelines, dan IS Auditing Procedures pada saat ini.

44 Diskusi Jelaskan dan beri contoh yang dimaksud dengan professional competence di bidang audit SI. The End

45