TEKNOLOGI INFORMASI AUDITIY
-
KONSEP-KONSEP AUDITIY
-
Audit Sistem Informasi merupakan proses pengumpulan dan evaluasi
bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat
melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu
pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang
dimiliki secara efisien (Weber, 2000). Pengertian ini selaras dengan tujuan
audit mutu internal dalam ISO 9001:2000. Audit Sistem Informasi sendiri merupakan
gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen
Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral
Science.
-
Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori,
yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum
(General Control). Tujuan pengendalian umum lebih menjamin integritas data yang
terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program
atau aplikasi yang diguna-kan untuk melakukan pemrosesan data. Sementara,
tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input
secara benar ke dalam aplikasi, diproses secara benar, dan terdapat
pengendalian yang memadai atas output yang dihasilkan.
-
Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas
pengendalian umum juga dilakukan mengingat pengendalian umum memiliki
kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.
-
Dalam praktiknya, tahapan-tahapan dalam audit system informasi
tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu
pendahuluan, mutlak perlu dilaku-kan agar auditor mengenal benar objek yang
akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified
resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga
referensi praktik-praktik terbaik ( best practices ). Tahapan perencanaan ini
akan menghasilkan suatu pro-gram audit yang didesain sedemikian rupa, sehingga
pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang
yang kompeten, serta dapat dise-lesaikan dalam waktu sesuai yang disepakati.
-
Dalam pelaksanaannya, auditor system informasi mengumpulkan
bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview,
observasi dan review dokumentasi (termasuk review source-code bila diperlukan).
-
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor
biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy).
Biasanya, auditor system informasi menerapkan teknik audit berbantuan komputer,
disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini
digunakan untuk menganalisa data, misalnya saja data transaksi penjualan,
pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
-
Sesuai dengan standar auditing ISACA (Information Systems Audit
and Control Association), selain melakukan pekerjaan lapangan, auditor juga
harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman
pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang
diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan distribusi
laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi
sebagaimana layaknya lapor-an audit pada umumnya
-
Teknologi Informasi Auditing
-
Audit teknologi informasi adalah bentuk pengawasan dan
pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit
teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan
audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.
Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan
sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan
evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah
lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai
untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja
secara efektif, dan integratif dalam mencapai target organisasinya.
KONSEP-KONSEP PDE AUDITING
Istilah PDE auditing umumnya digunakan untuk menerangkan 2 jenis
aktivitas yang berhubungan dengan computer, yaitu :
· Auditing melalui
computer ( Auditing through the computer )
Untuk menerangkan proses penelaahan dan evaluasi pengendalian
intern dalam suatu system pemrosesan data elektronik, biasanya dilakukan oleh
auditor selama pengujian ketaatan ( compliance test )
· Auditing dengan
computer ( Auditing with the computer )
Untuk menerangkan pemanfaatan computer oleh auditor untuk
melaksanakan beberapa pekerjaan audit yang tidak dilakukan secara manual
Kebanyakan audit meliputi pengujian ketaatan dan pengujian
substantif. Kedua jenis PDE auditing ini dilakukan baik oleh auditor intern maupun
ekstern.
STRUKTUR AUDIT LAPORAN KEUANGAN
Tujuan dan tanggungjawab utama auditor :
1. Auditor
ekstern : Menilai kewajaran laporan keuangan
suatu perusahaan, melayani para pemegang saham, pemerintah, dan masyarakat luas
2. Auditor
intern : Melayani kebutuhan manajemen perusahaan, hasil pekerjaannya
juga akan menjadi bahan untuk penelaahan dan pekerjaan auditor ekstern pada
saat mereka mengaudit laporan keuangan perusahaan
Audit secara umum dubagi menjadi 2 komponen dasar :
·
Audit interim
: Menetapkan
tingkat keandalan system pengendalian intern, biasanya diperlukan Pengujian
Ketaatan untuk melihat eksistensi, efektivitas, dan pengecekan kontinuitas
kegiatan yang mengandalkan system pengendalian intern
·
Audit laporan
keuangan : Verifikasi langsung terhadap angka-angka laporan keuangan,
berdasarkan hasil pengujian pengendalian intern dalam audit interim yang
merupakan Pengujian Substantif
AUDITING di SEPUTAR KOMPUTER
Secara umum, system akuntansi mencakup masukan, pemrosesan, dan
keluaran. Dalam pendekatan ini pemrosesan diabaikan, selain itu dokumen-dokumen
sumber untuk masukan ke system dipilih dan diikhtisarkan secara manual sehingga
tidak dapat dibandingkan dengan keluara. Setelah batch-batchdiproses dalam
system, total akan diakumulasikan untuk menyajikan catatan yang diterima dan
ditolak, koreksi-koreksinya, dan penyampaian ulangnya.
Pada perkembangan PDE selanjutnya, pendekatan ini tidak banyak
digunakan, secara implicit mengasumsikan bahwa kompter tidak dapat digunakan
untuk mengubah catatan tanpa terdeteksi oleh prosedur-prosedur manual.
AUDITING MELALUI KOMPUTER
Audit PDE untuk verifikasi ketaatan pengendalian intern
dilakukan oleh auditor intern dan ekstern. Tujuan auditor ekstern biasanya
diarahkan untuk atestasi laporan keuangan. Sedangkan auditor Intern melakukan
audit ketaatan untuk memenuhi kebutuhan manajemen atau kebutuhan tertentu
lainnya dalam perusahaan
AUDITING dengan KOMPUTER
Auditing dengan computer merupakan proses penggunaan teknologi
informasi dalam auditing. Teknologi informasi digunakan untuk melaksanakan
sejumlah pekerjaan audit yang dapat dilaksanakan pula secara manual. Penggunaan
teknologi informasi penting untuk meningkatkan efektivitas dan efisiensi
auditing.
Manfaat potensial penggunaan teknologi system informasi dalam
audit meliputi :
1. Kertas kerja yang
dihasilkan computer umumnya lebih mudah dibaca dan lebih konsisten. Kertas
kerja semacam itu lebih mudah disimpan, diakses, dan direvisi.
2. Waktu dapat dihemat
dengan mengeliminasi penghitungan. Penghitungan-silang, dan kalkulasi
penghitungan lainnya.
3. Kalkulasi,
pembandingan, dan manipulasi data lainnya akan menjadi lebih akurat.
4. Kalkulasi telaah
analitis akan lebih efisien, dan lingkupnya dapat diperluas.
5. Informasi proyek
seperti anggaran waktu dan pemonitoran waktu actual dan jumlah dianggarkan akan
lebih mudah dihasilkan dan dianalisis.
6. Korespondensi audit
standar seperti kuesioner dan daftar periksa, surat proposal, dan format-format
laporan dapat disimpan dan dimodifikasi secara mudah.
7. Moral dan
produktivitas dapat ditingkatkan dengan mengurangi waktu untuk tugas-tugas
klerikal.
8. Peningkatan
efektivitas biaya dapat diperoleh dengan menggunakan ulang aplikasi-aplikasi
audit elektronik untuk audit peristiwa kemudian ( Subsequent audit ).
9. Akan terjadi
peningkatan independensi karyawan-karyawan system informasi.
TEKNOLOGI EDP AUDITING
Data Uji
Merupakan
masukan yang disajikan auditor yang memuat data yang absah dan tidak
absah. Secara historis, data uji merupakan raihan pertama dalam audit
melalui komputer. Meskipun tidak praktis memberikan kemampuan untuk memahami
logika rinci program komputer bagi auditor, tetapi auditor akan dapat memahami
spesifikasi umum dari sistem dan dapat memanfaatkan hal tersebut untuk
menentukan apakah sistem bekerja atau tidak.
Simulasi Parallel
Simulasi parallel memproses data uji
melalui program-program uji atai program-program audit. Keluaran simulasi dan
keluaran nyata dibandingkan untuk tujuan pengendalian. Sebagai contoh, simulasi paralel atas program akuntansi biaya akan dibatasi oleh fungsi-fungsi yang memutakhirkan
catatan-catatan barang dalam proses. Fungsi-fungsi lain, seperti penjadwalan
atau pelaporan kinerja, tidak akan termasuk dalam program simulasi karena tidak
menjadi perhatian langsung dalam audit.
Perangkat Lunak Audit
Perangkat lunak audit mencakup program-program komputer yang memungkinkan komputer
digunakan sebagai alat audit. Komputer diprogram untuk dapat membaca, memilih,
mengekstrak (menarik), dan memproses data uji petik dari file-file komputer.
Terdapat berbagai tingkatan baik dalam lingkungan mainframe maupun
mikrokomputer. Perangkat lunak konvensional seperti program-program utilitas
sistem, program pemanggilan informasi, atau bahasa-bahasa tingkat tingkat
tinggi ( seperti COBOL ) dapat pula digunakan.
Perangkat lunak audit umum ( Generalized Audit Software- GAS)
Perangkat lunak audit umum ( GAS ) adalah perangkat lunak yang di rancang secara khusus untuk
mendukung penggunaan teknologi informasi dalam auditing. GAS dirancang secara khusus agar memungkinkan auditor yang
memiliki keahlian komputer sedkit, mampu melakukan fungsi-fungsi pemrosesan
data yang berkaitan dengan audit.
Perangkat Lunak Mikrokomputer
Perangkat lunak mikrokomputer bertujuan umum seperti perangkat lunak pemrosesan kata dan
spreadsheet memiliki banyak aplikasi – aplikasi audit. Selain itu, paket –
paket perangkat lunak berorientasi dan bertujuan khusus, telah pula
dikembangkan digunakan secara khusus dalam administrasi audit. Perangkat lunak
pemrosesan kata dan spreadsheet merupakan jenis-jenis perangkat lunak
mikrokomputer yang paling umum digunakan oleh auditor.
Tujuan aplikasi STARA :
1. File master
kekayaan berjalan telah dibaca dan seluruh data telah diambil
2. File kerja tahun
sebelumnya, kemudian digunakan untuk mencocokan catatan dengan file kerja tahun
berjalan.
3. Cetak laporan :
Laporan no 1 tambahan diatas $5000 pada tahun berjalan
Laporan no 2 kekeliruan dalam penyusutan tercatat
Jenis-jenis paket perangkat lunak mikrokomputerberikut
ini,kepada staf auditnya untuk digunakan dalam audit:
§ Paket-paket
perpajakan
§ Uji petik statistic
§ Translasi mata uang
§ Pembuat nomor-acak
§ Analisis regresi
§ Analisis persediaan
§ Perangkat lunak
bagan arus
§ Kertas kerja dan
lampiran-lampiran
Kegiatan audit terprogram
Merupakan teknologi audit yang mencakup modifikasi program
computer untuk tujuan-tujuan audit. Ini
dicapai dengan membentuk suatu kegiatan audit khusus di dalam program produksi
regular sehingga data transaksi atau lainnya dapat dianalisis.
Catatan diperluas (extendedrecord)
Berhubungan dengan modifikasi program-program computer untuk
menyajikan jejak audit yang komprehensif untuk transaksi-transaksi terpilih dan
mengumpulkannya dalam perluasan catatan data tambahan dalam suatu pemrosesan
yang tidak normal.
Snapshot
Snapshot,seperti yang diimplikasikan dari namanya, berupaya
memberikan gambaran komprehensif dari pekerjaan program pada titik tertentu
suatu waktu. Snapshot mencakup penambahan kode program agar program mencetak
isi area memori terpilih pada waktu selama pemrosesan kode snapshot dibuat. Ini
menghasilkan hasil cetakan operasi program.
Penjejakan
Penjejakan merupakan teknik audit lainnya yang menghasilkan alat
bantu program. Penjejakan normalnya dilaksanakan dengan menggunakan pilihan
(opsi) dalam bahasa kode sumber program (seperti COBOL). Bahasa tingkat tinggi
dijejaki pada tingkat pernyataan sumber ; bahasa tingkat lebih rendah dijejaki
pada tingkat yang lebih rinci. Penjejakan memberikan daftar rinci urutan
pelaksanaan pernyataan program. Penjejakan dapat menghasilkan ribuan catatan
keluaran, dan harus dipelajari jumlah transaksi yang besar yang tidak dijejaki.
Untuk tujuan audit, penjejakan dapat digunakan untuk memverifikasi bahwa
pengendalian intern dalam program aplikasi dijalankan pada saat program
memproses data uji. Penjejakan mengindikasikan bagian-bagian kode program yang
tidak dieksekusi, yaitu situasi yang berdampak pada ditemukannya modifikasi
tidak tepat atau tidak terotorisasi ke program.
Seluruh teknik kegiatan audit yang ditandai membutuhkan keahlian
teknis tingkat tinggi pada saat pertama kali dibuat, dan tingkat pengetahuan
yang tinggi untuk menggunakannya secara efektif. Tingkat independensi auditor
pada saat pengembangan sistem itu sangat tergantung pada tingkat keahlian
teknis yang mereka miliki. Bahkan sekalipun auditor memilikitingkat keahlian
teknis yang tinggi, pengembangan tetap membutuhkan kerjasama antara auditor
dengan karyawan departemen sistem.
Penelaahan dokumentasi sistem
Penelaahan dokumentasi sistem, seperti deskripsi naratif,bagan
arus dan daftar program, barangkali merupakan teknik auditing PDE yang tertua,
dan tetap dipergunakan secara luas sampai sekarang. Pendekatan ini khususnya
tepat pada saat tahap awal audit yaitu untuk persiapan seleksi dan pemanfaatan
atau teknologi audit langsung lainnya.
Auditor dapat juga meminta daftar bahasa sumber program.
Daftar-daftar ini dapat ditelaah secara manual oleh auditor. Program-program
dapat diperiksa secara manual oleh auditor. Penelaahan program secara lebih
memuaskan dapat dilakukan dengan meminta kode obyek, yaitu, versi bahasa-mesin
dari program. Penelaahan dokumentasi sistem dengan cara ini akan memberikan
jaminan bahwa membutuhkan keahlian teknis dan kesabaran. Auditor dapat
memverifikasi hash total kode obyek perangkat lunak untuk mendeteksi
modifikasi-modifikasi pada perangkat lunak.
Jenis dokumentasi lainnya yang dapat diperiksa adalah
dokumentasi operasi yang dihasilkan oleh banyak sistem komputer sebagai suatu
bagian dari operasi. Perangkat lunak yang memonitor kinerja operasi komputer
umumnya tersedia dalam sistem besar untuk menyediakan statistik teknis yang
bermanfaat meningkatkan efisiensi operasi sistem. Kegiatan akuntansi pekerjaan
(job accounting) seringkali merupakan bagian dari sistem operasi
komputer. Kegiatan ini mengumpulkan dan mengikhtisarkan statistik yang
berkaitan dengan penggunaan sumberdaya program (pekerjaan). Sekali lagi,
statistik tersebut penting bagi auditor karena menunjukkan siapa yang
menggunakan sistem dan juga kapan dan sumberdaya dan program yang mana yang
tercakup dalam sistem.
Bagan Arus Pengendalian
Dokumentasi spesifik untuk tujuan-tujuan audit ditelaah dan
dikembangkan untuk menunjukkan hakekat pengendalian aplikasi dalam sistem.
Dokumentasi seperti ini disebut bagan arus
pengendalian. Bagan arus analitis, bagan arus sistem atau teknis-teknis
grafis lainnya digunakan untuk menjelaskan pengendalian dalam sistem.
Keuntungan utama bagan arus adalah dapat dipahami oleh auditor, pemakai dan
karyawan komputer, sehingga mendukung komunikasi antara pihak-pihak yang
berbeda.
Pemetaan
Bahan bukti audit yang lebih langsung berkaitan dengan program
dapat diperoleh dengan cara memonitor jalannya program dengan menggunakan paket
pengukuran perangkat lunak khusus. Teknik audit seperti ini disebut pemetaan. Perangakat lunak menghitung jumlah
kali setiap pelaksanaan pernyataan program dalam suatu program dan memberikan
statistik ikhtisar yang berkaitan dengan penggunaan sumberdaya. Pada dasarnya,
pemetaan merupakan teknik untuk membantu perencanaan dan pengujian program.
Auditor dapat menggunakan perangkat lunak yang sama untuk menentukan apakah
pernyataan program tertentu telah dilaksanakan. Pemetaan dapat membantu
meyakinkan pernyataan-pernyataan pengendalian aplikasi program yang terdapat
dalam daftar bahasa sumber dalam program telah benar-benar dieksekusi pada saat
program berjalan, dan tidak diganggu oleh logika tertentu yang tidak terdapat
dalam daftar kode sumber dari program. Penghitungan jumlah kali setiap pernyataan
program yang telah dilaksanakan tidak mengimplikasikan bahwa program telah
dieksekusi secara benar.
Pemetaan dapat digunakan secara efektif sejalan dengan teknik
data uji. Eksekusi program dengan data uji sebagai masukan dapat dipetakan.
Evaluasi keluaran dari monitor perangkat lunak dapat mengindikasikan seberapa
ekstensif masukan menguji pernyataan program individual. Pernyataan-pernyataan
yang tidak dieksekusi tidak diuji.
JENIS-JENIS PDE AUDIT
Pendekatan Umum Terhadap PDE Audit
Sebagian besar pendekatan terhadap PDE audit mengikuti tiga
tahapan :
1. Telaahan dan
evaluasi awal
2. Telaahan dan
evaluasi rinci
3. Pengujian
Telaahan dan evaluasi awal
Menentukan tindakan-tindakan yang akan dillakukan dalam audit yang
mencakup keputusan-keputusan yang berkaitan dengan area-area tertentuyang di
investigasi, penugasan bagi staf audit, teknologi audit yang akan digunakan,
dan pembuatan anggaran waktu dan/biaya untuk audit.
Sumber daya audit biasanya terbatas, jadu umumnya tidak mungkin
melakukan audit atas setiap aplikasi setiap tahun. Aplikasi-aplikasi yang
mengandung kemungkinan penggelapan atau kekelirian-kekeliruan keuangan biasanya
menjadi target suatu audit.
Telaahan dan evaluasi rinci
Dalam tahap audit ini, sasaran difokuskanpada temuan-temuan yang
dipilih dalam audit.
Pengujian
Tahap pengujian dalam audit menghasilkan bukti ketaatan terhadap
prosedur-prosedur.pengujuan dilakukan untuk memberikan jaminan memadai bahwa
pengendalian intern ada dan bekerja sesuai dengan yang dinyatakan dalam
dokumentasi sistem.
Audit Aplikasi-aplikasi PDE
Pengendalian-pengendalian Aplikasi debagi menjadi tiga area
umum, masukan, pemrosesan, pengeluaran. Audit aplikasi-aplikasi PDE umumnya
mencakup penelaahanpengendalian dalam tiga area tersebut.
Audit Pengembangan Sistem Aplikasi
Tiga area umumdalam audit yang berkaitan dengan proses
pengembangan sistemadalah standar-standar pengembangan sistem, manajemen
proyek, dan pengendalian pengubahan program.
Standar-standar pengembangan sistem, merupakan dokumentasi yang menjadi panduan perancangan,
pengembangan, dan implementasi sistem aplikasi. Keberadaan standar-standar
pengembangan sistem merupakan pengendalian umum utama dalam sistem PDE.
Manajemen proyek, untuk mengukur dan
mengendalikan perkembangan selama pengembangan sistem aplikasi. Manajemen
proyek meliputi proyek dan penyeliaan proyek. Perencanaan proyekmerupakan
pernyataan formal mengenai rencana-rencana kerja rinci dalam proyek. Penyeliaan
proyek memonitor pelaksanaan aktifita-aktifitas proyek.
Pengendalian pengubahan program, berkaitan dengan pemeliharaan program-program aplikasi. Tujuan
pengendalian-pengendalian tersebut adalah untuk mencegah pengubahan yang tidak
sah dan bersifat penggelapan terhada program-program yang telah di uji dan di
terima.
Audit atas Pusat layanan Komputer
Audit atsa pusat layanan komputer dilakukan sebelum setiap audit
atas aplikasi dilakukan guna meyakinkan integritas umum lingkungan dimana
aplikasi akan di fungsikan. Pengendalian-pengendalian umum atas operasi
komputer juga memnbantu menjuamin tidak adanya interupsi atas
sumberdaya-sumberdaya pusat layanan komputer.
Audit akan dilakukan terhadap beberapa area. Salah satu area
berkaitan dengan pengendalian-pengendalian lingkungan. Sistem-sistem mainframe
yang berkaitan dengan pusat-pusat layanan komputerbesar umumnya memiliki
persyaratan-persyaratan temperatur dan kelmbaban khusus yang membutuhkan
penyejuk ruangan. Area lain adalah keamanan secara fisik atas pusat-pusat yang
bersangkutan.
Rencana pemulihan bencana di
pusat-pusat tanggung jawab harus ditelaah. Rencana pemulihan bencana harus
mencakup hal-hal yang berkaitan dengan misalnya pernyataan tanggung jawab
manajemen yang menyatakan siapa yang bertanggung jawab atas kejadian bencana,
rencana-rencana tindakan darurat, penyediaan fasilitas dan pendukung data,
pengendalian-pengendalian proses pemulihan.
Pengendalian-pengendalian manajemen atas operasi pusat layanan komputer juga merupakan area yang
diperhatikan. Area ini mencakup teknik-teknik yang digunakan untuk
menganggarkan faktor-faktor beban peralatan, statistik pemanfaatan protek, dan
persyaratan-persyaratan anggaran dan rencana penetapan staf, dan rencana
perolehan peralatan.
Pengujian ketaatan yang akan digunakan
dalam seluruh area audit tersebut adalah telaahan atas bukti-bukti tang
didokumentasikan; wawancara dengan pemakai, manajemen, dan karyawandepartemen
sistem; observasi langsung; dan tanya-jawab.
Tidak ada komentar:
Posting Komentar