Resume Pengertian, Tujuan, Tahapan, Manfaat dan Contoh Penerapan Audit Sistem Informasi

Pengertian Audit Sistem Informasi

Audit sistem informasi atau Information System Audit disebut juga EDP Audit (Electronc Data Processing Audit) atau computer audit merupakan suatu proses dikumpulkannya data dan dievakuasinya bukti untuk menetapkan apakah suatu sistem aplikasi komputerisasi sudah diterapkan dan menerapkan sistem pengendalian internal yang sudah sepadan, seluruh aktiva dilindungi dengan baik atau disalahgunakan dan juga terjamin integritas data, keandalan dan juga efektifitas dan efisiensi penyelenggaraan informasi berbasis komputer.

 Audit sistem informasi merupakan gabungan dari berbagai macam ilmu, antara lain traditional audit, manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer, dan behavioral science. Menurut Ron Weber (2010) audit sistem informasi adalah proses pengumpulan dan penilaian bukti–bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien. Beberapa aspek yang diperiksa pada audit sistem informasi seperti efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, aspek security, audit atas proses, modifikasi program, audit atas sumber data, dan data file.

Faktor-faktor yang mendorong pentingnya kontrol dan audit sistem informasi (Weber, 2006) adalah :

• Mendeteksi agar komputer tidak dikelola secara kurang terarah.
• Mendeteksi resiko kehilangan data.
• Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi salah/lambat/tidak lengkap.
• Menjaga aset perusahaan karena nilai hardware, software dan personil yang lazimnya tinggi.
• Mendeteksi resiko error komputer.
• Mendeteksi resiko penyalahgunaan komputer (fraud).
• Menjaga kerahasiaan
• Meningkatkan pengendalian evolusi penggunaan komputer

Tujuan audit sistem informasi menurut Ron Weber secara garis besar yaitu:

• Pengamanan Aset. Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian internal yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.
• 
  
• Menjaga Integritas Data. Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang benar bahkan perusahaan dapat mengalami kerugian.
• 
  
• Efektifitas Sistem. Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
• 
  
• Efisiensi Sistem. Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :

1. Conformance(Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
2. Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Adapun tujuan yang lain adalah :

• Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.
• Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan strategis.

Dalam melaksanakan Audit sistem informasi, seorang auditor harus memastikan tujuan-tujuan berikut ini terpenuhi.

• Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
• Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
• Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
• Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
• Data sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
• File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.

Tahapan Audit Sistem Informasi

1. Perencanaan Audit (Planning The Audit)

Fase pertama dari kegiatan audit sistem informasi adalah perencanaan.

Untuk auditor eksternal, hal tersebut dilakukan dengan melakukan investigasi pada klien agar bisa mengetahui apakah pekerjaan auditnya bisa diterima, menempatkan anggota audit, menghasilkan perjanjian audit yang sudah ditentukan, menghasilkan informasi latar belakang klien, memahami masalah hukum klien, dan juga menganalisa prosedur yang ada agar bisa memahami bisnis klien dan mengidentifikasi risiko audit di dalamnya.

2. Pengujian Pengendalian (Test Of Controls)

Dalam tahapan ini, pihak auditor akan melakukan tes kontrol saat mereka mengatakan bahwa kontrol resiko ternyata berada pada level yang maksimal, sehingga mereka akan mengandalkan kontrol sebagai acuan untuk pengurangan biaya testing yang ada.

Dalam fase ini juga pihak auditor tidak akan mengetahui apakah identifikasi kontrol sudah berjalan secara efektif, untuk itu dibutuhkan evaluasi yang lebih detail.

3. Pengujian Transaksi (Test Of Transaction)

Pihak auditor akan memanfaatkan test atas transaksi yang ada untuk mengevaluasi apakah ada kesalahan ataupun proses yang tidak biasa terjadi pada kegiatan transaksi hingga bisa mengakibatkan kesalahan pencatatan material di dalam laporan keuangan.

Tes transaksi di dalamnya mencakup menelusuri jurnal dari sumber dokumen yang ada, memeriksa berkas, dan juga memeriksa keakuratan data.

4. Pengujian Keseimbangan atau Keseluruhan Hasil 

Agar bisa mengetahui pendekatan apa yang digunakan dalam fase ini, maka yang harus diperhatikan adalah mengamati harga dan kesatuan data perusahaan.

Beberapa jenis tes substantif yang akan digunakan adalah menghitung persediaan fisik, melakukan konfirmasi utang, dan juga melakukan perhitungan ulang pada aktiva tetap perusahaan.

5. Penyelesaian / Pengakhiran Audit

Dalam fase audit akhir, pihak audit eksternal akan melakukan beberapa tes tambahan atas bukti yang ada agar nantinya bisa dijadikan sebagai bahan laporan. Ruang lingkup audit sistem informasi ini umumnya lebih fokus pada seluruh sumber daya informasi yang tersedia, seperti aplikasi, infrastruktur, personil, dan juga informasi.

Manfaat Kontrol & Audit Sistem Informasi

Faktor-faktor yang mendorong pentingnya kontrol dan audit sistem informasi (Weber, 1999, p.6) adalah antara lain untuk :

1. Mendeteksi agar komputer tidak dikelola secara kurang terarah.
2. Mendeteksi resiko kehilangan data.
3. Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi salah/lambat/tidak lengkap.
4. Menjaga aset perusahaan karena nilai hardware, software dan personil yang lazimnya tinggi.
5. Mendeteksi resiko error komputer.
6. Mendeteksi resiko penyalahgunaan komputer (fraud).
7. Menjaga kerahasiaan
8. Meningkatkan pengendalian evolusi penggunaan komputer.

Audit sistem informasi dapat digolongkan dalam tipe atau jenis-jenis audit sebagai berikut :

1. Audit Laporan Keuangan (Financial Statement Audit), adalah audit yang dilakukan untuk amengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan data telah substantif.

• Audit Operasional (Operational Audit), adalah audit terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:
• Post implementation Audit(Audit setelah implementasi)
  Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan. Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.
• Concurrent audit(audit secara bersama) adalah auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.
• Concurrent Audits(audit secara bersama-sama) adalah auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.

Ada Tiga Pendekatan Auditing, yaitu :

• Auditing Around Computer (Audit Sekitar Komputer), yaitu dimana penggunaan komputer pada tahap proses diabaikan.
• Auditing Throught Computer (Auditing Melalui Komputer), yaitu dimana pada tahap proses penggunaan komputer telah aktif.
• Auditing With Computer (Auditing Dengan Komputer), yaitu dimana input, proses dan output telah menggunakan komputer.

Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan. Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.

Standar yang digunakan dalam mengaudit sistem informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure.

Resiko Audit Sistem Informasi
Berikut ini terdapat beberapa resiko audit sistem informasi, terdiri atas:

Risiko Inherent – Atau ‘Inherent Risk’ (IR), adalah risiko yang mungkin timbul akibat karakter bawaan dari suatu transaksi, bisa juga karena : kompleksitas transaksi dan klas transaksi, atau kompleksitas perhitungan, aset yg mudah tercuri/digelapkan, ketiadaan informasi yang sifatnya obyektif. Sudah menjadi pemahaman publik bahwa inherent risk adalah diluar jangkauan auditor dalam melakukan pencegahan. Bahkan, juga diluar kendali pihak auditee sendiri. Jadi dengan kata lain, auditor hanya bisa menemukan tetapi tidak bisa melakukan apa-apa.

Risiko Pengendalian – Atau ‘Control Risk’ (CR), adalah risiko yang bisa timbul akibat kelemahan sistim pengendalian intern (SPI) auditee, tak tahu karena desainnya yang lemah atau pelaksanaanya yang tidak sesuai desain—thus tidak mampu mencegah potensi salahsaji bersifat material dan/atau penggelapan (fraud). Jadi CR tidak bisa dikendalikan oleh auditor akan tetapi bisa dikendalikan oleh auditee jika mereka mau.

Risiko Deteksi – Atau ‘Detection Risk’ (DR), adalah risiko yang bisa timbul akibat kegagalan auditor dalam menedeteksi adanya salahsaji bersifat material dan/atau penggelapan (fraud). Jadi DR ada dalam kendali auditor. Itu karena DR sepenuhnya ada pada kendali auditor, maka sudah pasti mereka harus berupaya untuk menekan risiko ini hingga ke tingkatakan yang paling minimal (tidak mungkin menghilangkan risiko ini sepenuhnya).

Contoh Penerapan Audit 

Laporan Kas Harian

Dalam tingkat yang paling dasar, audit melibatkan satu orang (sebagai auditor) yang memeriksa kesesuaian pekerjaan orang lain. Dalam sebuah bisnis misalnya, pasti ada satu karyawan yang bertugas menangani uang tunai. Pada situasi ini, dibutuhkan lapora kas harian.

Ketika seorang karyawan menjumlahkan semua pembayaran yang terkumpul pada hari itu (misalnya pembayaran debit, tunai dan cek) dia harus mencatat semuanya dalam laporan kas harian. Kemudian, karyawan lain akan bertindak sebagai auditor dan memeriksa apakah semua angka cocok dengan laporan.

Audit Tingkat Departemen

Pada organisasi besar seperti universitas, auditor internal biasanya dipekerjakan di kantor independen untuk memberikan laporan langsung pada manajemen. Auditor ini bisa saja melakukan berbagai jenis audit misalnya saja melakukan peninjauan kinerja departemen apakah sudah sesuai dengan prosedur yang ditetapkan, termasuk melakukan kontrol akuntansi. Sebagai bagian dari audit, auditor bisa meninjau transaksi keuangan dan catatan perjalanan departemen untuk memastikan bahwa biaya yang ditagihkan diserta dengan bukti yang memadai.

Sistem Pembelian

Sistem pembelian adalah contoh lain dari penerapan audit. Sebuah perusahaan besar membutuhkan seperangkat prosedur operasional atau pengendalian internal untuk memastikan bahwa bahan mentah dan barang jadi yang diperoleh oleh karyawannya mewakili penggunaan sumber daya keuangan yang terbaik termasuk memenuhi persyaratan efisiensi biaya.