AUDIT Atas Sistem Informasi Berbasis Teknologi Informasi

AUDIT Atas Sistem Informasi Berbasis Teknologi Informasi
AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI INFORMASI

Audit atas sistem informasi berbasis teknologi informasi adalah sebuah proses menyeluruh yang melibatkan pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah suatu sistem komputer yang digunakan dalam organisasi telah dirancang dan diimplementasikan dengan baik. Tujuan utamanya adalah untuk memastikan bahwa sistem tersebut dapat mengamankan aset organisasi, menjaga integritas data, mendukung pencapaian tujuan organisasi secara efektif, dan beroperasi secara efisien.

Audit atas sistem berbasis komputer / teknologi informasi memiliki ruang lingkup yang luas. Terdapat beberapa tahapan audit yang harus dilaksanakan dalam melakukan audit sistem berbasis teknologi informasi secara keseluruhan. Tahapan audit yang dilakukan meliputi tahap survey pendahuluan, tahap evaluasi pengendalian sistem (audit sistem informasi), tahap pengujian ketaatan dan tahap pengujian subtantif serta terakhir penyusunan laporan (Wilkinson, 2006). Sedangkan, menurut Romney and Steinbart (2015:337), mendefinisikan audit sistem informasi sebagai :

“An examination of the general and application controls of an IS to assess its compliance with internal control policies and procedures and its effectiveness in safeguarding assets.”

Audit merupakan proses mendapatkan dan mengevaluasi bukti mengenai asersi tentang tindakan ekonomi dan peristiwa dalam rangka untuk menentukan seberapa baik mereka sesuai dengan kriteria yang telah ditetapkan. Dari definisi tersebut, diperoleh empat langkah utama dalam proses audit (Romney and Steinbart, 2015:339), diantaranya yaitu :

1) Perencanaan Audit.
Menyelenggarakan apa yang perlu dilakukan, bagaimana dan siapa yang akan melakukan audit. Hal ini dilakukan dengan terlebih dahulu mengidentifikasi risiko, maka cukup dapat memahami ruang lingkup dan tujuan audit dan apa yang akan diminta untuk melakukan audit. Sebagian besar pekerjaan audit akan fokus pada daerah dengan jumlah tertinggi risiko.
Ada tiga jenis risiko audit, yaitu :
• Risiko yang melekat : risiko masalah kontrol dalam ketiadaan kontrol internal.
• Pengendalian risiko : risiko salah saji material yang akan melewati struktur pengendalian intern.
• Deteksi risiko : risiko bahwa auditor dan prosedur tidak akan mendeteksi salah saji material atau kesalahan.

2) Pengumpulan bukti dapat dilakukan dalam berbagai cara :
• Observasi
• Meninjau dokumentasi
• Wawancara, diskusi, dan kuesioner
• Pemeriksaan fisik (misalnya, jumlah persediaan)
• Konfirmasi dengan pihak ketiga
• Reperforming perhitungan (misalnya, perkiraan seperti penyusutan atau perhitungan beban utang buruk)
• Dokumen pendukung vouching (misalnya, penjualan pesanan pelanggan, dokumen pengiriman, faktur penjualan, pembayaran pelanggan)
• Analytical review (memeriksa tren dan pola baik di dalam organisasi dan industri mereka)

3) Evaluasi bukti melibatkan auditor berkesimpulan bahwa bukti mendukung atau tidak mendukung pernyataan.

4) Komunikasi hasil dalam bentuk laporan tertulis dan sering termasuk rekomendasi kepada manajemen.

Audit sistem informasi menggunakan kerangka berbasis risiko yang memungkinkan auditor untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem untuk memenuhi setiap tujuan tersebut (Romney and Steinbart, 2015:340). Kerangka berbasis risiko dapat diterapkan pada tujuan audit sistem informasi dalam empat bidang kerangka, yaitu :
• Mengidentifikasi penipuan dan kesalahan (ancaman) yang dapat terjadi yang mengancam setiap tujuan
• Identifikasi prosedur pengendalian (mencegah, mendeteksi, memperbaiki ancaman)
• Evaluasi prosedur pengendalian
 Tinjau untuk melihat apakah ada pengendalian dan dalam bagian apa
 Uji kontrol untuk melihat apakah mereka bekerja sebagaimana dimaksud
• Menentukan efek kelemahan pengendalian
 Pengendalian kompensasi

Berikut ini ada beberapa teknik audit yang biasanya digunakan oleh auditor secara bersamaan untuk program pengujian (Romney and Steinbart, 2015:347), diantaranya adalah :
a. Integrated Test Facility (ITF), menyisipkan entitas dummy dalam sistem perusahaan, pengolahan transaksi tes untuk memperbarui mereka tidak akan mempengaruhi catatan sebenarnya.
 Menggunakan input fiktif

b. Snapshot Technique, menandai transaksi dengan kode khusus, merekam dan catatan master file mereka sebelum dan setelah pengolahan, dan menyimpan data untuk kemudian memverifikasi bahwa semua langkah pengolahan dieksekusi dengan baik.
 File induk sebelum dan setelah update disimpan untuk transaksi yang ditandai khusus

c. System Control Audit Review File (SCARF), menggunakan modul audit yang tertanam untuk terus memantau transaksi, mengumpulkan data tentang transaksi dengan signifikansi audit khusus, dan menyimpan data untuk kemudian mengidentifikasi dan menyelidiki transaksi yang dipertanyakan.
 Pemantauan terus menerus dan penyimpanan transaksi yang memenuhi pra-spesifikasi

d. Audit Hooks, rutinitas audit yang memberitahukan auditor terkait transaksi yang dipertanyakan tersebut.
 Memberitahukan auditor terkait transaksi yang diragukan.

e. Continuous and Intermittent Simulation, penyematan modul audit DBMS yang menggunakan kriteria tertentu untuk memeriksa semua transaksi yang update database.
 Sama halnya dengan SCARF untuk DBMS.

ANALISIS PROGRAM LOGIC. Jika auditor menduga bahwa program berisi kode yang tidak sah atau kesalahan serius, analisis rinci dari logika program mungkin diperlukan. Ini memakan waktu dan memerlukan kemahiran dalam bahasa pemrograman yang sesuai, sehingga harus digunakan sebagai upaya terakhir. Auditor menganalisis pengembangan, operasi, dan dokumentasi program serta hasil cetakan dari kode sumber. Mereka juga menggunakan paket perangkat lunak berikut (Romney dan Steinbart, 2015: 348) :
• Automated flowcharting program, perangkat lunak yang menafsirkan kode sumber program dan menghasilkan flowchart logika program.
• Automated decision table program, perangkat lunak yang menafsirkan kode sumber program dan menghasilkan tabel keputusan logika program.
• Scanning routines, software yang akan mencari program untuk terjadinya item tertentu.
• Mapping programs, software yang mengidentifikasi kode program yang tidak dijalankan.
• Program tracing, berurutan mencetak semua langkah program yang dijalankan, bercampur dengan output, sehingga urutan eksekusi program dapat diamati.

Komputer – dibantu teknik Audit (CAATs) mengacu mengaudit software, sering disebut perangkat lunak audit umum (GAS), yang menggunakan auditor – spesifikasi yang disediakan untuk menghasilkan program yang melakukan fungsi audit, ada dengan mengotomatisasi atau menyederhanakan proses audit. CAATs idealnya cocok untuk memeriksa file data yang besar untuk mengidentifikasi catatan membutuhkan pemeriksaan pemeriksaan lebih lanjut. Menggunakan CAATs, auditor diakses catatan pemungutan pajak selama 4 tahun sebelumnya, mengurutkannya berdasarkan tanggal, menyimpulkan koleksi dari bulan, dan membuat laporan dari koleksi pajak bulanan. Auditor kemudian digunakan CAATs untuk membandingkan setiap catatan pemungutan pajak dengan catatan properti (Romney dan Steinbart, 2015: 350-351).

Untuk menggunakan CAATs, auditor memutuskan tujuan audit, mempelajari file dan database yang akan diaudit, merancang laporan audit, dan menentukan bagaimana untuk menghasilkan mereka. Program CAATs menggunakan spesifikasi untuk menghasilkan program audit. CAATs tidak dapat menggantikan pertimbangan auditor atau membebaskan auditor dari fase lain dari audit.

CAATs sangat berharga bagi perusahaan dengan proses yang kompleks, opertions didistribusikan, volume transaksi yang tinggi, atau berbagai macam aplikasi dan sistem. Berikut ini adalah beberapa kegunaan penting dari CAATs (Romney dan Steinbart, 2015: 352) :
• Query file data untuk mengambil pertemuan catatan kriteria yang ditentukan.
• Menciptakan, memperbarui, membandingkan, download, dan penggabungan file.
• Meringkas data, menyortir, dan penyaringan.
• Mengakses data dalam format yang berbeda dan mengkonversi data ke dalam format yang umum.
• Meneliti catatan untuk kualitas, kelengkapan, konsistensi, dan kebenaran.
• Stratifikasi catatan, memilih dan menganalisa sampel statistik.
• Pengujian untuk risiko spesifik dan mengidentifikasi bagaimana untuk mengendalikan risiko itu.
• Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya.
• Melakukan tes analitis, seperti rasio dan analisis kecenderungan, mencari pola data yang tidak terduga atau dijelaskan yang mungkin mengindikasikan penipuan.
• Mengidentifikasi kebocoran keuangan, kebijakan non kepatuhan, dan kesalahan pengolahan data.
• Merekonsiliasi jumlah fisik untuk jumlah yang dihitung, pengujian akurasi ulama ekstensi dan saldo, pengujian untuk duplikat item.
• Format dan pencetakan laporan dan dokumen.
• Membuat kertas kerja elektronik.

Mengapa audit sistem informasi penting?

Dalam era digital saat ini, hampir semua aspek bisnis bergantung pada teknologi informasi. Sistem komputer menyimpan data-data penting perusahaan, mulai dari data keuangan, data pelanggan, hingga data operasional. Jika sistem ini tidak dikelola dengan baik, maka risiko terjadinya kebocoran data, gangguan sistem, atau bahkan penipuan akan semakin besar.

Apa saja yang diperiksa dalam audit sistem informasi?

Dalam audit sistem informasi, beberapa aspek yang diperiksa adalah efektivitas dan efisiensi sistem, keamanan sistem, integritas data, ketersediaan sistem, dan kepatuhan terhadap peraturan. Audit ini memastikan bahwa sistem berjalan sesuai dengan yang diharapkan, menghasilkan output yang akurat dan tepat waktu, serta menggunakan sumber daya yang optimal.

Selain itu, audit juga memperiksa keamanan sistem untuk melindungi dari ancaman eksternal seperti serangan hacker, virus, atau malware, serta memastikan akses ke sistem dibatasi hanya untuk pengguna yang berwenang. Integritas data juga diperiksa untuk memastikan bahwa data yang disimpan dalam sistem akurat, lengkap, dan konsisten, serta terdapat mekanisme untuk mencegah terjadinya modifikasi data yang tidak sah.

Audit juga memperiksa ketersediaan sistem untuk memastikan bahwa sistem dapat diakses oleh pengguna yang berwenang setiap saat, serta terdapat prosedur pemulihan jika terjadi gangguan sistem. Terakhir, audit memastikan bahwa sistem telah dirancang dan diimplementasikan sesuai dengan peraturan perundang-undangan yang berlaku, seperti peraturan perlindungan data pribadi.

Bagaimana proses audit sistem informasi dilakukan?

Proses audit sistem informasi dimulai dengan perencanaan, yaitu menentukan tujuan audit, lingkup audit, dan prosedur audit yang akan digunakan. Setelah itu, dilakukan pengumpulan bukti yang relevan, seperti dokumentasi sistem, hasil wawancara dengan pengguna, dan hasil pengujian sistem. Bukti-bukti yang telah dikumpulkan kemudian dievaluasi untuk mengidentifikasi kelemahan dan risiko yang ada dalam sistem.

Hasil evaluasi bukti kemudian digunakan untuk menyusun laporan audit yang berisi temuan audit, rekomendasi perbaikan, dan kesimpulan. Laporan audit ini akan memberikan gambaran yang jelas tentang kondisi sistem informasi yang diaudit, serta memberikan rekomendasi untuk perbaikan dan peningkatan keamanan dan efisiensi sistem. Dengan demikian, proses audit sistem informasi dapat membantu meningkatkan kualitas dan keamanan sistem informasi.

Siapa yang melakukan audit sistem informasi?

Audit sistem informasi biasanya dilakukan oleh auditor internal atau eksternal yang memiliki keahlian di bidang teknologi informasi dan audit. Auditor internal adalah karyawan perusahaan yang bertanggung jawab untuk melakukan audit terhadap berbagai aspek kegiatan perusahaan, termasuk sistem informasi. Sementara itu, auditor eksternal adalah pihak independen yang dikontrak oleh perusahaan untuk melakukan audit.

Manfaat melakukan audit sistem informasi

Manfaat melakukan audit sistem informasi adalah meningkatkan keamanan sistem dengan mengidentifikasi dan memperbaiki kelemahan sistem yang dapat dimanfaatkan oleh pihak yang tidak berwenang. Selain itu, audit juga membantu meningkatkan integritas data dengan memastikan bahwa data yang disimpan dalam sistem akurat dan dapat diandalkan.

Dengan melakukan audit sistem informasi, perusahaan juga dapat meningkatkan efisiensi operasional dengan mengoptimalkan penggunaan sumber daya dan meningkatkan produktivitas. Selain itu, audit juga membantu perusahaan memenuhi persyaratan peraturan yang berlaku, sehingga perusahaan dapat memastikan bahwa telah memenuhi semua peraturan yang relevan.

Pada akhirnya, melakukan audit sistem informasi juga dapat meningkatkan kepercayaan stakeholders, sehingga mereka dapat merasa percaya diri bahwa sistem informasi perusahaan dikelola dengan baik dan dapat diandalkan. Dengan demikian, audit sistem informasi dapat memberikan banyak manfaat bagi perusahaan, baik dalam hal keamanan, efisiensi, maupun kepercayaan stakeholders.

Audit atas sistem informasi berbasis teknologi informasi merupakan kegiatan yang sangat penting untuk memastikan bahwa sistem informasi perusahaan berjalan dengan aman, efektif, dan efisien. Dengan melakukan audit secara berkala, perusahaan dapat mengidentifikasi dan mengatasi potensi masalah sebelum masalah tersebut berdampak negatif pada bisnis.

REFERENSI

Hall, J. A. (2016). Information Technology Auditing (Edisi ke-4). Cengage Learning.

Hall, J. A. (2018). Auditing information systems. Cengage Learning.

ISACA. (2018). ISACA Framework for IT Auditing. ISACA.

Lee, H. J. (2005). An empirical study of information systems audit quality. Accounting Review, 80(3), 625-652.

Smith, K. L., & Johnson, D. M. (2015). The role of information systems auditing in ensuring data security. Journal of Information Systems, 25(2), 115-132.

Weber, R. (2012). Information Systems Control and Audit (Edisi ke-2). Wiley.

Anda mungkin juga berminat
Comments
Loading...