AUDIT SISTEM INFORMASI DAN PROSEDUR

Penggolongan audit SI berbasis TI Audit laporan keuangan,dalam hal ini audit terhadap aspek-aspek TI pada suatu SIA berbasis TI dilaksanakan dalam rangka audit keuangan yang sistem akuntansinya berbasis komputer. Audit objectives-nya memeriksa kesesuaian financial statement dengan standar akuntansi keuangan.

Audit TI dilakukan dalam rangka test of controls (memeriksa program dan sistem aplikasi) serta substantive test (memeriksa data pada data base). Model referensi pengendalian internal yang digunakan adalah COSO

Audit sistem informasi sebagai kegiatan tersendiri,lebih menekankan pada IT governance (tata kelola TI). Model referensi pengendalian internal yang digunakan adalah CobIT. Audit objectives-nya effectiveness,efficiency,confidentiality,data integrity,availability,compliance,dan realibility.

Yang diperiksa adalah teknologi informasi itu sendiri. Yaitu mengevaluasi sistem aplikasi yang telah diimplementasikan, untuk memeriksa keterandalan sistem aplikasi yang sedang dikembangkan maupun yang sudah dioperasikan.

Pertanyaan dalam audit SI Who (siapakah auditornya,kualifikasi,auditor internal atau eksternal) What (teknik audit yang akan dilaksanakan) How (bagaimana metodologinya,with computer atau manual dalam audit evidence atau dalam approach dengan transaction based,systems based atau risked based audit)

Why (mengapa perlu dilakukan audit) When (kapan sebaiknya dilakukan) Where (pada fungsi yang mana dilakukan audit) Which (apa audit objectives-nya,area apa saja yang perlu diperiksa, dan bahan bukti apa yang perlu dikumpulkan;file/data atau program).

Prosedur umum audit Pengumpulan bukti audit (audit evidence collection) Dapat dilakukan dengan interview,kuesioner,dan controls flowcharts. Pengujian dapat dilakukan dengan programming code review,test data, dan code comparison.

Evaluasi bukti audit (audit evidence evaluation) Dilakukan dengan tujuan agar auditor dapat menarik kesimpulan dan mendapat keyakinan untuk dapat memberikan opini tentang kehandalan financial statement maupun telah diselenggarakannta good IT governance.

Dalam audit SI berbasis TI,sistem yang dihadapi auditor lebih kompleks,rumit,dan keterkaitan antar subsistem makin terpadu sehingga untuk memudahkan dalam melakukan audit maka salah satu guidelines yang dapat diikuti adalah breakdown sistem yang dievaluasi menjadi sub sistem sub sistem.

Salah satu metode pendekatan audit yang bisa digunakan adalah systems factoring yaitu teknik audit dengan lebih dahulu memandang sistem yang diaudit secara luas,komprehensif,kemudian di breakdown menjadi bagian – bagian terstruktur supaya lebih mudah diperiksa.

Information Systems Management Top management Information Systems Management System Development Management Programming Management Quality Assurance Management Security Administration Operation Management Application Systems Controls

Lapisan Area Fungsional Keterangan Top management Harus yakin bahwa TI dikelola dengan baik,bertanggung jawab terhadap rencana jangka panjang. Information Systems Management Bertanggung jawab atas planning/control kegiatan SI,membantu manajemen dan menjabarkan menjadi short-run goals and objectives. Systems Development Management Bertanggung jawab terhadap rancangan,implementasi,dan pemeliharaan sistem aplikasi. Programming Managent Bertanggung jawab atas kegiatan programming. Data Administration Bertanggung jawab atas planning dan control penggunaan data organisasi. QA Bertanggung jawab bahwa pengembangan sistem aplikasi dilaksanakan sesuai standar. Security Administration Bertanggung jawab atas access controls dan physical security. Operations Management Bertanggung jawab atas planning dan control day to day.

Tujuan Audit SI Menurut CobIT yaitu effectiveness,eficiency,data integrity,compliance,availability,confidential ity dan realibility. Menurut Weber yaitu untuk menilai apakah sistem komputerisasi organisasi dapat mendukung pengamanan aset,apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi,apakah sistem komputerisasi sudah memanfaatkan sumber daya secara efisien dan apakah terjamin konsistensi dan keakuratan data.

Prosedur Audit SI Penugasan audit SI yang dapat dilaksanakan pada suatu organisasi,misalnya : Untuk mengidentifikasi sistem yang ada (inventory existing systems) baik yang ada pada tiap divisi yang digunakan menyeluruh. Untuk dapat memahami seberapa besar SI mendukung kebutuhan strategis perusahaan dan operasional perusahaan. Untuk mengetahui bidang atau kegiatan mana yang didukung dengan sistem serta TI yang ada.

Untuk menganalisa tingkat pentingnya data/informasi yang dihasilkan oleh sistem. Untuk mengetahui keterkaitan data,sistem pengolahan dan transfer informasi. Untuk mengetahui apakah ada kesenjangan antara sistem dengan kebutuhan. Untuk membuat peta (map) dari information flows yang ada.

Tahapan Audit (Sumber CISA Review Manual) : Subjek audit Tentukan unit atau lokasi yang diaudit Sasaran audit Tentukan sistem secara spesifik,fungsi atau unit organisasi yang akan diaudit Jangkauan audit Identifikasi sistem secara spesifik,fungsi atau unit organisasi yang akan dimasukkan lingkup pemesiksaan Rencana pre audit Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit Identifikasi sumber bukti untuk tes atau review Prosedur audit&langkah pengumpulan bukti audit Identifikasi&pilih pendekatan audit Identifikasi daftar individu untuk interview Identifikasi kebijakan yang berhubungan dengan standar utk interview Mengembangkan instrumen audit&metodologi pengujian Prosedur untuk evaluasi Organisasikan sesuai kondisi&situasi Identifikasi prosedur evaluasi Pelaporan hasil audit Siapkan laporan yang objektif,konstruktif dan menampung penjelasan auditee

Kode Etik Auditor SI : Dalam mendukung implementasi SI,selalu mendorong kepatuhan terhadap standar,prosedur dan kontrol internal. Menjalankan tugas secara due diligence (ketelitian seperti seharusnya) dan profesional care (kehati-hatian) sesuai dengan standar profesional dan best practise. Melaksanakan tugas untuk kepentingan stakeholders sesuai dgn aturan dan penuh kejujuran. Menjaga privacy dan confidentiality kecuali memang ada keharusan disclosure oleh ketentuan legal.

Memelihara kompetensi dan melaksanakan tugas pada bidang yang sesuai dengan kompetensinya. Memberikan informasi kepada pihak terkait yang memerlukan termasuk fakta penting yang perlu diketahui. Mendorong pelatihan untuk meningkatkan profesionalisme pihak terkait khususnya menyangkut information systems security and control. Jika tidak menjaga kode etik tersebut,akan mendapat sanksi pemeriksaan.

Standar&panduan yang dikeluarkan ISACA : Pelaksanaan tugas audit,bila menggunakan bahan bukti yang berasal dari pekerjaan auditor lainnya. Pentingnya bahan bukti audit. Penggunaan alat bantu software audit. Pemeriksaan pada SI yang di outsourcing ke organisasi lain. Hal – hal yang berkaitan dengan audit charter.

Konsep materialitas. Pelaksanaan tugas dengan penuh kehati – hatian. Dokumentasi dalam audit. Pertimbangan yang berkaitan irregularities. Audit sampling. Dampak pervasife IS control (kontrol internal yang tersebar) Keterkaitan dan independensi.

Penaksiran resiko dalam perencanaan. Review sistem aplikasi. Dampak organizations IT control oleh pihak ketiga. Independensi dan peranan auditor dalam bidang non audit. Tata kelola IT. Irregularities dan illegal acts ERP systems review.

B2C E-Commerce review. SDLC review Internet banking Business Process Reenginnering Project Review Mobile computing. Computer Forensics. Post Implementation Review. Business Continuity Plan (BCP) Review IT Perspective

Selain itu IS Audit Guidelines ISACA juga memberikan panduan tentang pentingnya kompetensi,privacy,responsibility,authority, dan accountability dan follow up activities.