PENGERTIAN
AUDIT SISTEM INFORMASI
Audit teknologi informasi atau information systems (IS) audit
adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi
informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan
bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan
pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal
dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi
secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan
sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi
informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah
aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
PROSES AUDIT SISTEM INFORMASI
1. Perencanaan (Planning)
Tahap
perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope),
objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi
dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi,
sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang
terkait dengan pengolahan investigasi.
Perencanaan meliputi beberapa aktivitas utama, yaitu:
Perencanaan meliputi beberapa aktivitas utama, yaitu:
- Penetapan ruang lingkup dan tujuan audit
- Pengorganisasian tim audit
- Pemahaman mengenai operasi bisnis klien
- Kaji ulang hasil audit sebelumnya
- Penyiapan program audit
2. Pemeriksaan Lapangan (Field Work)
Tahap
ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara
mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan
dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner
ataupun melakukan survey ke lokasi penelitian.
3. Pelaporan (Reporting)
Setelah
proses pengumpulan data, maka akan didapat data yang akan diproses untuk
dihitung berdasarkan perhitungan maturity level. Pada tahap ini
yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit.
Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan
rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang
mencerminkan kinerja saat ini (current maturity level) dan kinerja
standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya
dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk
mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan
adanya gap tersebut.
4.
Tindak Lanjut (Follow Up)
Tahap ini yang dilakukan adalah memberikan
laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak
managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi
tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya
menjadi acuhan untuk perbaikan dimasa yang akan datang. Menurut Weber (2001),
tahapan-tahapan audit sistem informasi terdiri dari:
A.
Investigasi dan Penyelidikan
Awal
Merupakan tahapan pertama dalam audit bagi auditor eksternal yang
berarti menyelidiki dari awal atau melanjutkan yang ada unutk menentukan apakah
pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai melaukan
pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien
dan mengidentifikasi area resiko.
B.
Pengujian atas Control (Tests
of Controls)
Tahap ini dimulai dengan pemfokusan pada pengendalian menegemen, apabila
hasil yang ada tidak sesuai dengan harapan, maka pengendalian manegemen tidak
berjalan sebagai mana mestinya. Apabila auditor menemukan kesalahan yang serius
pada pengendalian manegemen, maka mereka akan mengemukakan opini atau mengambil
keputusan dalam pengujian transaksi dan saldo untuk hasilnya.
C.
Pengujian atas Transaksi (Tests
of Transaction)
Pengujian yang termasuk adalah pengecekan jurnal yang masuk dari dokumen
utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna
dalam pengujian ini dan auditor dapat mengunakan software audit yang umum untuk
mengecek apakah pembayaran bunya dari bank telak dikalkulasi secara tepat.
D.
Pengujian atas Keseimbangan
atau Hasill Keseluruhan (Tests of Balances or Overall Results)
Auditor melakukan pengujian ini agar bukti penting dalam penilaian akhir
kehilangan atau pencatatan yang keliru yang menyebabkan fungsi sistem informasi
gagal dalam memelihara data secara keseluruhan dan mencapai sistem yang efekti
dan efesien. Dengan kata lain, dalam tahap ini mementingkan pengamatan asset
dan integritas data yang obyektif.
E.
Penyelesaian Audit (Completion
of The Audit)
Tahap
terakhir ini, auditor eksternal melakukan beberapa pengujian tambahan untuk
mengoleksi bukti untuk ditutup dengan memberikan pernyataan pendapat.
STANDAR AUDIT SISTEM
INFORMASI
Standard Audit Sistem
Informasi Menurut ISACA (Information System Audit And Control Association) :
S1 Audit Charter
• Tujuan, tanggung jawab,
kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit
sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit
charter atau perjanjian tertulis.
• Audit charter atau perjanjian tertulis
harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam
organisasi.
S2 Independence
• Professional Independence
Dalam semua permasalahan yang berhubungan dengan
audit, auditor sistem informasi harus independen terhadap auditee
baik dalam sikap maupun penampilan.
• Organisational Independence
Fungsi audit sistem informasi harus independen
tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit
terselesaikan.
S3 Professional Ethics and Standards
• Auditor sistem informasi harus tunduk
pada kode etika profesi dari ISACA dalam melakukan tugas audit.
• Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi
terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.
S4 Professional Competence
• Auditor sistem informasi harus seorang profesional yang kompeten, memiliki
keterampilan dan pengetahuan untuk melakukan tugas audit.
• Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara
terus menerus dengan melanjutkan edukasi dan training.
S5 Planning- Auditor
sistem informasi harus merencanakan peliputan audit sistem informasi
sampai pada tujuan audit dan tunduk pada standar audit profesional dan
hukum yang berlaku.
- Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.
- Pengawasan-staff audit
sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal
bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
- Bukti-Selama berjalannya audit, auditor
sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan
untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh
analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.
- Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.
- Auditor
sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas
penyelesaian audit.
- Laporan audit harus berisikan ruang lingkup, tujuan,
periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
- Laporan audit harus berisikan temuan, kesimpulan dan
rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang
lingkup bahwa auditor sistem informasi bertanggung jawab terhadap
audit.
- Auditor
sistem informasi harus memiliki bukti yang cukup dan tepat untuk
mendukung hasil pelaporan.
MANAJEMEN RESIKO
1. Pengertian :
Manajemen risiko terdiri dari dua kata berbeda. Seperti yang
kita tahu manajemen secara umum berarti mengorganisir. Sedangkan dalam KBBI
kata risiko berarti : akibat yang kurang menyenangkan (merugikan,
membahayakan) dari suatu perbuatan atau tindakan. Dalam bisnis sendiri, risiko berkaitan dengan hasil aktual
yang tidak sesuai dengan hasil harapan. Jadi manajemen risiko adalah
proses identifikasi, analisis, penilaian, pengendalian, dan penghindaran,
minimalisasi, atau penghapusan risiko yang tidak dapat diterima.
2. Cara Melakukan Manajemen Risiko dengan Efektif
kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu:
-
Lingkungan
internal (internal environment)
-
Penentuan
sasaran (objective setting)
-
Identifikasi
peristiwa (event identification)
-
Penilaian
risiko (risk assessment)
-
Tanggapan
risiko (risk response)
-
Aktivitas
pengendalian (control activities)
-
Informasi
dan komunikasi (information and communication)
-
Pemantauan
(monitoring)
Sumber :
