Konsep Audit SI dan TI.

Presentasi berjudul: "Konsep Audit SI dan TI."— Transcript presentasi:

1 Konsep Audit SI dan TI

2 Makin perlu Audit TI Prosedur Umum Audit Audit Operasional Prosedur Audit SI

3 EDP Audit (electronic data processing audit) atau komputer audit, kini disebut audit sistem informasi. Merupakan proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputer telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aktivitas dilindungi dengan baik/tidak disalahgunakan secara terjaminnya integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis kmputer tersebut EDP Audit atau audit komputer sudah tidak tepat untuk digunakan

4 Pada mulanya EDP Audit hanya dilakukan dalam rangka audit laporan keuangan
Karena makin pentingnya dan makin besarnya investasi dalam TI, organisasi/perusahaan makin merasakan perlunya audit operasional terhadap fungsiTI-nya. Sebelum ISACA memperkenalkan konsep CobIT yang memperjelas peta area audit teknologi informasi, maka secara umum audit sistem informasi dimaksudkan untuk mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis perusahaan, untuk mengetahui apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai. efektifitas adalah ukuran derajat pencapaian output dari suatu sistem, dengan kata lain ialah doing the right things. Efisiensi adalah ukuran yang menunjukkan bagaimana sumber aya digunakan dalam proses menghasilkan output

5 Klasifikasi Audit Sistem Informasi
Audit laporan keuangan (general audit on financial statemens) Merupakan audit terhadap aspek-aspek teknologi informasi suatu sistem informasi akuntansi berbasis teknologi informasi adalah dilaksanakan dalam rangka audit keuangan (general financial audit) yang sistem informasinya berbasis komputr (sering disebut audit teknologi informasi) Audit Sistem informasi (SI) sebagai kegiatan tersendiri, terpisah dari audit keuangan. Merupakan salah satu dari audit operasional. Tetapi kini audit SI sudah dikenal sebagai satu jenis audit tersendiri yang tujuan utamanya adalah ntuk meingkatkan IT governance.

6 Audit Laporan Keuangan Berbasis Teknologi Informasi
Tujuannya adalah sama dengan audit tradisional, yaitu memerikasa kesesuaian financial statemens dengan standar akuntansi keuangan dan ada tidaknya salah saji material pada laporan keuangan. Audit dilakukan sebagai bagian dari kewajiban legal. Audit TI dilakukan dalam rangka test of controls serta subtantive test. Kualifikasi auditornya adalah akuntan (registered, dan certified public accountant). Padnuan yang digunakan di Indonesia adalah Standar Profesional Akuntan Publik (SPAP), dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA Di USA, atau CICA untuk Kanada). Referensi model sistem pengendalian intern yang dipakai lazimnya adalah COSO (Committee of Sponsoring Organization). Tujuan utama auditor adalah untuk mendapatkan keyakinan laporan keuangan perusahaan. Metode/pendekatan auditnya, akuntan dapat melakukan pemeriksaan terhadap sistem komputerisasinya atau degan pemeriksaan input dengan output

7 Audit Sistem informasi (SI)
Sebagai suatu audit operasional terhadap manajemen sumberdaya informasi, yaitu efektivitas, efisiensi, dan ekonomis tidaknya unit funsional sistem informasi pada suatu organisasi atau pengelolaan sistem informasi pada suatu organisasi. Dengan diperkenalkan CobIT , kini tujuan audit bukan hanya terbatas pada konsep klasik 3E saja, melainkan kini menjadi efektivitas, efisiensi, kerahasiaan, keterpaduan ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan sistem informasi. Pelaksanaan audit ini biasanya dilakukan oleh auditor intern ( tetapi tidak menutup kemungkinan oleh auditor ekstern-independen), dengan menerapkan pengetahuan teknis audit dan sistem informasi maupun pengalamannya, untuk mengevaluasi unit/departemen sistem informasi, pengelolaan sumber daya informasi, pengembangan sistem aplikasi, serta mengevaluasi sistem yang sudah diimplementasikan ( apakah sistem tersebut perlu dimutakhirkan atau diperbaiki, atau bahkan dihentikan karena sudah tidak sesuai atau mengandung kesalahan) Panduan yang dipergunakan dalam audit SI ini untuk di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (AIA di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu: dari ISACA atau IIA. Model referensi sistem pengendalian intern lazimnya adalah CobIT.

8 Audit Sistem informasi (SI)
Audit objectives dalam audit terhadap IT governance. Karena yang diperikasa adalah tata-kelola TI, maka yang diperiksa antara lain adalah teknologi informasi itu sendiri. Dalam pelaksanaannya, jenis audit ini berkembang dalam beberapa varian, yaitu: Pemeriksaan operasional terhadap pengelolaan sistem informasinya, atau lebih tepatnya/tegasnya terhadap tata-kelola teknologi informasi. General information review, audit terhadap sistem informasi secara umum pada suatu organisasi. Audit terhadap aplikasi tertentu yang sedang dikembangkan, quality assurance pada system development. Auditor bukan anggota dari tim pengembang sistem, tetap membantu tim untuk meningkatkan kualitas dari sistem yang mereka rencanakan dan implementasikan. Post Implementation Audit, audit terhadap aplikasi tertentu yang sudah dioperasikan. Audit e-busienss atau e-commerce, di USA ikatan akuntan publiknya (AICPA) menawarkan jasa webtrust, bahkan juga systrust. Audit juga dapat dilakukan untuk jenis lingkup penugasan tertentu, misalnya Telaah lingkungan TI, Telaah proses bisnis dan seberapa jauh TI mendukungnya Telaah Kepemilikan TI, apakah sewa/leasing, dimiliki oleh perusahaan sepenuhnya, atau dimiliki perusahaan outsourcing. Telaah sistem jaringan dan keamanan Telaah integritas data pada sistem informasi Telaah administrasi sistem, meliputi: keamanan sistem operasi, manajemen database, prosedur dan ketaatan administrasi secara keseluruhan.

9 Tujuan Audit Effectiveness
“Deals with information being relevant and pertinent to the business process as well as being delivered in a timely, correct, consistent, and usable manner.” Berhubungan dengan informasi yang relevan dan berhubungan dengan proses bisnis, yang disampaikan dalam waktu yang tepat bener, konsisten, dan dapat digunakan. Efficiency “Concerns the provision of information through the optimal (most productive and economical) use of resources.” Berhubungan dengan penyediaan informasi melalui penggunaan sumber daya yang optimal (paling produktif dan ekonomis). Confidentiality “Concerns the protection of sensitive information from unauthorized disclosure.” Berhubungan dengan perlindungan informasi yang bersifat sensitif dari pembeberan rahasia tanpa disertai otoritas.

10 Tujuan Audit Integrity
“Relates to the accuracy and completeness of information as well as to its validity in accordance with business value and expectations.” Berhubungan dengan ketepatan dan kelengkapan dari suatu informasi serta keabsahan informasi tersebut dalam hubungannya dengan nilai-nilai bisnis dan harapan-harapannya. Availability “Relates to information being available when required by the business process now and in the future. It also concerns the safeguarding of necessary resources and associated capabilities.” Berhubungan dengan ketersediaan informasi ketika dibutuhkan oleh proses bisnis sekarang dan di masa yang akan datang. Hal ini juga mencakup pengamanan terhadap sumber daya dan kemampuan yang terkait.

11 Tujuan Audit Compliance
“Deals with complying with the laws, regulations, and contractual arrangements to which the business process is subject-that is, externally imposed business criteria, as well as internal policies” Berhubungan dengan mematuhi hukum, peraturan, dan pengaturan kontrak dimana proses bisnis merupakan subjeknya, dikenakan secara eksternal terhadap kriteria bisnis, dan kebijakan-kebijakan internal. Reliability “Relates to the provision of appropriate information for management to operate the entity and exercise its fiduciary and governance responsibilities.” Berhubungan dengan penyediaan informasi-informasi yang sesuai dengan pihak manajemen untuk menjalankan entitasnya dan mempraktekan tanggung jawab pemerintahannya.

12 Pemetaan audit SI pada konstruksi pertanyaan
Who, siapa auditornya, kualifikasi, auditor intern atau ekstern What, teknik audit yang akan dilakukan: arround, through the computer How, bagaimana metodologinya whit the computer atau manual saja dalam audit avidence collection and evaluation juga dalam approach atau pendekatan: transactional base, system base, ataukah risk base audit Why, mengapa perlu dilakukan audit When, kapan masing-masing sebaiknya dilakukan Where, pada fungsi yang mana dilakukan pemeriksaan Which, apa audit objective ny, area apa saja yang perlu diperiksa dan bahan bukti apa yang perlu dikumpulkan

13 Makin perlu Audit TI Audit TI makin diperlukan sehubungan dengan resiko yang semakin tinggi dibidang sistem berbasis teknologi informasi, yaitu: Resiko penggunaan teknologi informasi secara tidak langsung (tidak tepat) Kesalahan berantai atau pengulangan kesalahan secara cepat/konsisten pada sistem berbasis komputer Ketidakmampuan menterjemahkan kebutuhan (sistem tidak sesuai) Konsentrasi tanggungjawab, antara lain konsentrasi data pada satu lokasi atau orang-orang TI Kerusakan sistem kompunikasi yang dapat berakibat pada proses atau data. Data input atau informasi bisa saja tidak akurat, kurang mutakhir, palsu Ketidakmampuan mengendalikan teknologi Akses sistem ayang tidak terkendali

14 PENGERTIAN AUDIT AROUND THE COMPUTER
Audit around the computer masuk ke dalam kategori audit sistem informasi dan lebih tepatnya masuk ke dalam metode audit. Audit around the computer dapat dikatakan hanya memeriksa dari sisi user saja dan pada masukan dan keluaranya tanpa memeriksa lebih terhadap program atau sistemnya, bisa juga dikatakan bahwa audit around the computer adalah audit yang dipandang dari sudut pandang black box. Dalam pengauditannya yaitu auditor menguji keandalan sebuah informasi yang dihasilkan oleh komputer dengan terlebih dahulu mengkalkulasikan hasil dari sebuah transaksi yang dimasukkan dalam sistem. Kemudian, kalkulasi tersebut dibandingkan dengan output yang dihasilkan oleh sistem. Apabila ternyata valid dan akurat, diasumsikan bahwa pengendalian sistem telah efektif dan sistem telah beroperasi dengan baik.

15 Metode Audit Sistem Informasi
Audit disekitar komputer (Audit Around The Computer) Audit melalui komputer (Audit Through The Computer) Audit dengan komputer (Audit With The Computer)

16 AUDIT AROUND THE COMPUTER
Audit around the computer dilakukan pada saat: Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat mata dan dilihat secara visual. Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.

17 AUDIT AROUND THE COMPUTER
Kelebihan: Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam. Tidak harus mengetahui seluruh proses penanganan sistem. Kelemahan: Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual. Tidak membuat auditor memahami sistem komputer lebih baik. Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem. Lebih berkenaan dengan hal yang lalu daripada audit yang preventif. Kemampuan komputer sebagai fasilitas penunjang audit mubadzir. Tidak mencakup keseluruhan maksud dan tujuan audit.

18 Pengertian Audit through the computer
Audit through the computer adalah dimana auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba proses program dan sistemnya atau yang disebut dengan white box, sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui sistem bagaimana sistem dijalankan pada proses tertentu. Audit around the computer dilakukan pada saat: Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.

19 Audit through the computer
Kelebihan: Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif. Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi. Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer. Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya. Kelemahan: Biaya yang dibutuhkan relative tinggi karena jumlaj jam kerja yang banyak untuk dapat lenih memahami struktur pengendalian intern dari pelaksanaan system aplikasi. Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem.

20 AUDIT AROUND THE COMPUTER
AUDIT THROUG THE COMPUTER Sistem harus sederhana dan berorientasi pada sistem batch. Pada umumnya sistem batch komputer merupakan suatu pengembangan langsung dari sistem manual. Melihat keefektifan biaya. Seringkali keefektifan biaya dalam Audit Around The Computer pada saat aplikasi yang digunakan untuk keseragaman kemasan dalam program software. Auditor harus besikap userfriendly. Biasanya pendekatan sederhana yang berhubungan dengan audit dan dapat dipraktekkan oleh auditor yang mempunyai pengetahuan teknik tentang komputer Volume input dan output. Input dari proses sistem aplikasi dalam volume besar dan output yang dihasilkan dalam volume yang sangat besar dan luas. Pengecekan langsung dari sistem input dan output yang sulit dikerjakan. Pertimbangan efisiensi. Karena adanya pertimbangan keuntungan biaya, jarak yang banyak dalam uji coba penampakan audit adalah biasa dalam suatu sistem.

21 Audit With The Computer
Pendekatan ini dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian substantif atas file dan record perusahaan. Software audit yang digunakan merupakan program komputer auditor untuk membantu dalam pengujian dan evaluasi kehandalan data, file dan record perusahaan. Keunggulan menggunakan pendekatan ini adalah dapat melaksanakan tugas audit yang terpisah dari catatan klien yaitu dengan mengambil copy data atau file untuk di test dengan komputer lain. Kelemahannya adalah upaya dan biaya untuk pengembangan relatif besar.

22 Tujuan Audit Teknologi Informasi (1)
Menurut Gondodiyoto (2007, hal ), (audit objectives) lebih ditekankan pada beberapa aspek penting, yaitu pemeriksaan dilakukan untuk dapat menilai : apakah system komputerisasi suatu organisasi atau perusahaan dapat mendukung pengamanan aset (assets safeguarding), apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan (systems effectiveness), apakah sistem komputerisasi tersebut sudah memanfaatkan sumber daya secara efisien (efficiency), dan apakah terjamin konsistensi dan keakuratan datanya (data integrity).

23 Tujuan Audit Teknologi Informasi (2)
Meningkatkan keamanan aset - aset perusahaan Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, data (file) harus dijaga oleh suatu sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset perusahaan merupakan suatu hal yang sangat penting dan harus dipenuhi oleh perusahaan. Meningkatkan integritas data Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut - atribut tertentu seperti : kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memiliki hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian.

24 Tujuan Audit Teknologi Informasi (3)
Meningkatkan efektifitas sistem Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user (pengguna). Meningkatkan efisiensi sistem Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya manusia, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya manusia yang minimal. Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost / benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisien berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

25 Tahapan Audit Sistem Informasi
Subjek Audit Tentukan/identifikasi unit/lokasi yang diaudit Sasaran Audit Tentukan sistem secara spesifik, fungsi atau unit organisasi yang akan diperiksa diperiksa Jangkauan Audit Identifikasi sistem secara spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan dimasukkan lingkup pemeriksaan Rencana Pre-audit Identifikasi kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit. Identi fikasi sumber bukti untuk tes atau review seperti fungsi flowchart, kebijakan, standar prosedur dan kertas kerja audit sebelumnya. Prosedur audit dan langkah - langkah pengumpulan bukti audit Identifikasi dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern. Identifikasi daftar individu untuk interview. Identifikasi dan menghasilkan kebijakan yang berhubungan dengan bagian, standar dan pedoman untuk interview. Mengembangkan instrument audit dan metodologi penelitian dan pemeriksaan kontrol internal pemeriksaan kontrol internal Prosedur untuk evaluasi Organisasikan sesuai kondisi dan situasi. Identifikasi prosedur evaluasi atas tes efektivitas dan efisiensi sistem, evaluasi kekuatan dari dokumen, kebijakan dan prosedur yang diaudit yang diaudit Pelaporan hasil audit Siapkan laporan yang objektif, konstruktif (bersifat membangun) dan menampung penjelasan auditee menampung penjelasan auditee.

26 Prosedur Audit (1) Prosedur Audit menurut Bastian (2007: 13) ada tiga jenis, yaitu: Mewawancarai personel dinas/ instansi yang berkaitan dengan unsur struktur pengendalian. Melakukan inspeksi terhadap dokumen dan catatan. Melakukan pengamatan atas kegiatan perusahaan.

27 Prosedur Audit (2) Prosedur audit kemudian dikembangkan oleh Cannon (2011: 137), the audit program policy informs everyone that the overall auditing program is important. We use standards as a uniform rule of measurement and each standar is supported by a set of procedures. The audit program is run in the same manner as an ISO 9001 quality management program. Every auditor needs to ensure that the following procedures are in the toolkit: Audit planning Scheduling audits Assuring competence of auditors and audit team leaders Selecting appropriate audit teams Assigning roles and responsibilities Conducting audits Maintaining audit program records performance and effectiveness Complaint tracking Reporting to top management an overall achievement.

28 Prosedur Audit (3) Jadi, dapat disimpulkan bahwa prosedur audit meliputi beberapa kegiatan, yaitu: perencanaan audit, penjadwalan audit, menjamin kompetensi auditor dan pemimpin tim audit, memilih tim audit yang sesuai, menetapkan peran dan tanggung jawab, melakukan audit, mempertahankan catatan program audit, pemantauan kinerja dan efektifitas, pengaduan pelacakan, melaporkan kepada manajemen pusat atas mengenai prestasi keseluruhan