Konsep, Metode, dan Regulasi Audit Teknologi Sistem Informasi

Definisi

Menurut (Arens dan Loebbecke, 2003), audit adalah merupakan suatu proses pengumpulan dan pengoperasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi yang dimaksud dengan kriteria-kirteria yang ditetapkan. Auditing seharusnya dilakukan oleh seseorang yang independen dan kompeten.

Menurut (Mulyadi, 2002), audit adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dana kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian tentang pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.

Jenis-Jenis Audit

• Operational audit, terkonsen pada efisiensi dan efectifitas dengan semua sumberdaya yang digunakan untuk melaksanakan tugas, cakupanya meliputi kesesuaian praktik dan prosedur dengan peraturan yang ditetapkan.
• Compliance audit terkonsentrasi pada cakupan undang-undang, peraturan pemerintah, pengendalian dan kewajiban badan eksternal lain yang telah diikut.
• Project manajement and change control audit,(dulu dikenal sebagai suatu pengembangan sistem audit) terkonsentrasi oleh efesiensi dan efektifitas pada berbagai tahap pengembangan sistem siklus kehidupan yang sedang diselenggarakan.
•  Internal control audit terkonsentrasi pada evaluasi struktur pengendalian internal
• Financial audit terkonsentrasi pada kewajaran laporan keuangan yang menunjukan posisi keuangan, aliran kas dan hasil kinerja perusahaan.
• Fraud audit adalah nonrecurring audit yang dilaksanakan untuk mengumpulkan bukti untuk menentukan apakah sedang terjadi, telah terjadi atau akan terjadi kecurangan. Dan penyelesaian hal sesuai dengan pemberian tanggungjawab.

Teknologi Auditing Sistem Informasi

Adapun audit sistem informasi merupakan gabungan dari berbagai macam ilmu, antara lain :

• Traditional Auditing

Traditional Auditing memberikan pengetahuan dan pengalaman tentang teknik pengendalian internal di sebuah sistem informasi.Beberapa pengendalian yang dilakukan dalam audit tradisional dapat dilakukan secara langsung dalam pengendalian lingkungan PDE. Metodologi umum untuk mengumpulkan dan mengevaluasi bukti yang digunakan pada lingkungan PDE berasal dari audit tradisional. Auditor yang berpengalaman dengan tambahan pemahaman pengetahuan tentang komputer akan lebih mudah menerapkan logika pengendalian internal yang tradisional ke basis computer.

• Manajemen Sistem Informasi

Banyak kejadian ketika awal penerapan sebuah sistem pemrosesan data elektronik terjadi banyak ‘kecelakaan’. Seringkali memerlukan biaya yang sangat tinggi dan sering pula terjadi kegagalan dalam pencapaian tujuan. Hal ini karena belum adanya manajemen sistem informasi yang baik pada saat itu. Sebuah Information System Management akan menghasilkan cara-cara penerapan sistem informasi berbasis komputer pada perusahaan dengan lebih baik melalui tahap-tahap pengembangan sistem, seperti: analisis sistem, perancangan sistem, programming, testing, implementation dan kemudian operasional serta pemantauan dan evaluasinya.

• Ilmu Komputer

Pengetahuan teknik mengenai ilmu komputer sangat penting agar dapat menghasilkan kemampuan sistem informasi berbasis komputer yang dapat digunakan untuk safeguard assets, integritas data, efektifitas dan efisiensi. Teknologi komputer yang berkembang pesat dengan munculnya e-commerce, e-business, dan sebagainya akan membawa pengaruh besar kepada perkembangan teknologi informasi.

• Behavioral Science

Kegagalan penerapan sistem informasi berbasis komputer di banyak organsiasi seringkali juga karena masalah perilaku organisasional, yang terkadang sering diabaikan dalam pengembangan sistem informasi. Kegagalan tersebut dikarenakan oleh adanya ‘resistance to change’ yang berasal dari puhak-pihak yang terkena dampak penerapan sistem informasi berbasis komputer.

Tujuan Audit Sistem Informasi

• Tujuan Audit Sistem Informasi menurut Ron Weber yaitu:
• Meningkatkan keamanan aset-aset perusahaan.
• Meningkatkan data dan menjaga integritasi data.
• Meningkatkan efektifitas sistem
• Meningkatkan efisiensi sistem
• Ekonomis

Dua aspek utama tujuan audit sistem informasi yaitu:

•  Conformance (Kesesuaian)

Yaitu audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian seperti kerahasiaan, Integritas, Ketersediaan, Kepatuhan.

• Performance (Kinerja)

Yaitu audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kenerja seperti Efektifitas, Efisiensi, Kehandalan.

Tahap Audit Sistem Informasi

Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :

• Tahap pemeriksaan pendahuluan
• Tahap pemeriksaan rinci.
• Tahap pengujian kesesuaian.
• Tahap pengujian kebenaran bukti.
• Tahap penilaian secara umum atas hasil pengujian.

Standar Audit Sistem Informasi

Standar Audit Sistem Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII Tahun 2006  pada tanggal 25 Februari 2006 bertempat di Jakarta. SASI IASII berlaku bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai  berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan sebelum tanggal tersebut. Adapun  beberapa aturan yang standarisasikan, antara lain:

• Penugasan Audit, mencakup: Tanggung Jawab, Wewenang, dan Akuntabilitas .
• Independensi & Obyektifitas.
• Profesionalisme & Kompetensi.
• Perencanaan.
• Pelaksanaan, yang mencakup: Pengawasan, Bukti-bukti Audit, dan Kertas Kerja Audit.
• Pelaporan.
• Tindak Lanjut.

Manajemen Risiko

IT risk management (manajemen resiko teknologi informasi) adalah proses yang dilakukan oleh para manajer IT untuk menyeimbangkan kegiatan operasional dan pengeluaran cost dalam mencapai keuntungan dengan melindungi sistem IT dan data yang medukung misi organisasinya.

Risiko TI tidak terbatas pada keamanan informasi. Ini mencakup semua risiko yang berkaitan dengan IT, termasuk:

• Pengiriman proyek akhir
• Tidak mencapai nilai yang cukup dari IT
• Usang atau tidak fleksibel arsitektur TI
• Masalah pelayanan IT

Metode Audit

•  Audit Planning

1. Tanggung jawab : Piagam audit harus mendefinisikan misi, tujuan, sasaran audit sistem informasi. Pada tahap ini didefinisikan juga key performance indicators dan proses evaluasi audit.
2. Kewenangan : Piagam audit harus secara jelas menyebutkan otoritas yang ditugaskan ke auditor sistem informasi sehubungan dengan pekerjaan penilaian resiko yang akan dilakukan, hak untuk mengakses informasi klien, ruang lingkup atau batasan lingkup, fungsi klien dan ekpektasi audit.
3. Akuntabilitas : Piagam audit harus secara jelas mendefinisikan garis pelaporan, penilaian kepatuhan, dan tindakan yang disepakati.
4.  Sejumlah alat, khusus untuk membantu auditor berjalan audit pada database.

• Risk Assessment and Business Process Analysis

Proses kuantifikasi resiko disebut risk assessment. Penilaian resiko berguna dalam pengambilan keputusan seperti

1.  Fungsi area / bisnis yang diaudit.
2.  Sifat, luas dan waktu prosedur audit.
3.  Jumlah sumber daya yang akan dialokasikan untuk audit.

• Performance of Audit Work

Dalam pelaksanaan audit standar sistem informasi harus memberi pengawasan, mengumpulkan bukti audit dan mendokumentasikan pekerjaan audit. Untuk mencapai tujua tersebut dilalui proses seperti :

1.    Membentuk proses penkajian internal dimana karya satu orang ditinjau oleh orang lain, sebaiknya orang yang lebih senior.
2. Mendapatkan bukti yang cukup, dapat diandalkan dan relevan untuk diperoleh melalui inspeksi, pengamatan, permintaan, konfirmasi, dan penghitungan ulang.
3. Mendokumentasika pekerjaan dengan menggambarkan pekerjaan audit dan bukti audit dikumpulkan untuk mendukung temuan auditor.

Alat Audit

Tujuan dari paduan ini adalah untuk membantu perusahaan dalam mempersiapkan laporan audit yang dapat dipahami dan didukung dengan baik  yang sesuai dengan persyaratan standar audit dan Sistem Informasi dan pedoman Audit dan Assurance IS yang diterbitkan oleh ISACA. Panduan ini juga dirancang untuk membantu memastikan bahwa ringkasan hasil audit yang dipresentasikan dengan jelas dan laporan audit  menyajikan hasil kerja yang dilakukan secara jelas, ringkas, dan lengkap.

Panduan ini berlaku untuk audit Sistem Informasi  yang dilakukan oleh auditor internal, ekstenal atau pemerintah, walaupun  penekanan yang diberikan  pada isi laporan dapat bervariasi, tergantung pada jenis keterlibatan audit dan oleh siapa tindakan tersebut dilakukan. Bimbingan juga diberikan pada organisasi laporan, penulisan, review dan editing, serta presentasi.

Regulasi Aduit

Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :

• Tahapan Pengidentifikasian

Objek yang Diaudit Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.

•  Tahapan Evaluasi audit

Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.