OVERVIEW AUDIT SISTEM/TEKNOLOGI INFORMASI
Pengertian Audit Sistem Informasi Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait atau pengguna yang berkepentingan.
Secara umum dikenal beberapa jenis audit yaitu : 1. Berdasarkan bidang yang diaudit : Audit keuangan (Financial Audit) Audit Operasional/manajemen Audit Ketaatan Audit Sistem Informasi Audit E-Commerce Investigative Audit 2. Berdasarkan Auditornya : Auditor Independen Auditor Internal Auditor Perpajakan Auditor Pemerintahan
Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien
Audit Sistem Informasi/Teknologi Informasi relatif baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis. Audit Sistem Informasi/Teknologi Informasi adalah audit yang berbasis resiko, seperti juga audit internal atau eksternal.
Lingkup audit SI/TI telah meluas hingga meliputi sistem secara mendalam (co : audit prosedur pengembangan sistem). Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security
Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Audit Teknologi Informasi sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Tahapan-tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati.
Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program.
Selanjutnya adalah pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee. Terakhir adalah membuat laporan audit. Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan).
Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data dalam bentuk file softcopy). Dalam proses pengumpulan bukti ini ada beberapa cara yang sering dipakai yaitu : audit around computer, Pendekatan audit dengan memperlakukan komputer sebagai kotak hitam, teknik ini tidak menguji langkah langkah proses secara langsung, hanya berfokus pada input dan output dari sistem computer.
audit trought computer, Pendekatan audit yang berorientasi computer yang secara langsung berfokus pada operasi pemrosesan dalam system computer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi audit with computer , audit dengan berbantuan komputer atau dikenal dengan istilah CAATT.
Jika tingkat pemakaian Teknologi Informasi tinggi maka audit yang dominan digunakan adalah audit with computer atau yang biasa disebut dengan teknik audit berbantuan komputer (TABK) atau menggunakan CAAT (Computer Aided Auditing Technique)
Teknik ini digunakan untuk menganalisa data dimana keseluruhan proses menggunakan komputer, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Tentunya untuk aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan sistem.
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor dalam melakukan audit.
Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure.
Standar yang aplicable untuk audit TI adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2. Audit Independent, S3. Profesional Ethic and standard, S4.Profesional competence, S5. Planning, S6. Performance of Audit Work, S7. Reporting. S8.Follow-Up Activity, F9. Irregularities and Irregular Act, S10. IT Governance dan S11. Use of Risk Assestment in Audit Planning
IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intrution detection system, menganalisis firewall dan sebagainya.
Jika dibandingkan dengan audit keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu Cobit.
COBIT (Control Objective for Information Related Tecnology) COBIT (Control Objective for Information Related Tecnology) adalah kerangka tata kelola TI (IT governance) yang ditujukan kepada manajemen, staf pelayanan TI, control departemen, fungsi audit dan lebih penting lagi bagi pemilik proses bisnis (business process owner’s), untuk memastikan confidenciality, integrity and availability data serta informasi sensitif dan kritikal.
COBIT didesign terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan and Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Dengan melakukan kontrol terhadap ke 34 objektif tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI.
The COBIT Framework juga memasukkan hal berikut Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices. Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI. Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan kebutuhan bisnis dan Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan dengan process goals
COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah ” generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP). Suatu perencanaan audit TI dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.
Hasil Audit? Siapa yang Melakukan Audit? Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu. Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan yang diperlukan Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati bersama. Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan auditor Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen.
Audit sistem informasi dapat dilakukan sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor independent) untuk melakukannya. Di AS hasil audit sistem informasi terhadap bank harus dipublikasikan kepada publik. Dengan demikian pengguna jasa, nasabah mengetahui kondisi layanan sistem informasi pada bank tersebut. 25Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum yang mengatur tata cara pelaporan tersebut.
Responsi I 1. Jelaskan apa yang saudara ketahui tentang audit, audit keuangan dan audit sistem informasi dan apa manfaat masing – masing jenis audit tersebut bagi organisasi. 2. Salah satu lingkup audit sistem informasi berkaitan dengan tahapan pengembangan sistem informasi. Sebutkan dan jelaskan tahapan pengembangan sistem informasi.
3. Bagaimana keterkaitan SPI (struktur pengendalian internal) dengan audit sistem informasi. 4. Sebutkan dan jelaskan 3 (tiga) proses pengumpulan bukti audit sistem informasi. 5. Jelaskan tahapan – tahapan dalam melakukan audit sistem informasi.