1. Metodologi Audit Teknologi Informasi
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
- Tahap-tahap Audit teknologi Informasi
Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :
1. Tahap Pemeriksaan Pendahuluan.
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit.
2. Tahap Pemeriksaan Rinci.
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.
3. Tahap Pengujian Kesesuaian.
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri.
4. Tahap Pengujian Kebenaran Bukti.
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) :
a. Mengidentifikasi kesalahan dalam pemrosesan data
b. Menilai kualitas data
c. Mengidentifikasi ketidakkonsistenan data
d. Membandingkan data dengan perhitungan fisik
e. Konfirmasi data dengan sumber-sumber dari luar perusahaan.
5. Tahap Penilaian Secara Umum atas Hasil Pengujian.
Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup :
(1) pengendalian umum
(2) pengendalian aplikasi, yang terdiri dari :
(a) pengendalian secara manual
(b) pengendalian terhadap output sistem informasi
(c) pengendalian yang sudah diprogram.
- Jenis jenis audit teknologi informasi
a. Sistem dan aplikasi.
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
b. Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
c. Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
d. Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
e. Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client server, dan jaringan yang menghubungkan client dan server.
- Kelebihan teknologi
a. Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
b. Dapat memeriksa secara langsung logika pemrosesan dari system aplikasi.
c. Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.
d. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.
e. Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.
f. Cara paling efektif dengan pendekatan biaya. Karena biaya yang terkait dalam pelaksanaannya kecil.
g. Pelaksanaan audit lebih sederhana, lebih mudah dan dimengerti oleh semua orang.
h. Auditor yang memiliki pengetahuan minimal di bidang computer dapat dilatih dengan mudah untuk melaksanakan audit.
i. Tidak ada resiko terhadap kemungkinan hancurnya data sesungguhnya.
2. Alasan Perlu Audit Teknologi Informasi
A. Kerugian akibat kehilangan data
Informasi berasal dari suatu data yang diolah dan memiliki manfa’at bagi penggunanya. Oleh karena itu, data adalah suatu aset yang penting bagi suatu perusahaan atau organisasi. Informasi dari suatu data akan menjadi gambaran dari kondisi di masa lalu, sekarang, dan masa yang akan datang. Jika informasi dari data tersebut hilang, maka akan menyebabkan suatu kesalahan yang fatal.
B. Kesalahan dalam pengambilan keputusan
Saat ini masih banyak instansi yang menggunakan perangkat lunak dalam mengambil keputusan. Namun, resiko yang ditimbulkan bisa saja bukan lagi membahayakan sistem, tetapi juga dapat membahayakan nyawa seseorang seperti dalam penggunaan DSS (Sistem Penunjang Keputusan) dalam bidang kedokteran. Tingkat akurasi dan pentingnya suatu data tergantung kepada jenis keputusan yang akan diambil.
C. Kerugian yang disebabkan oleh kesalahan pemrosesan komputer
Banyak organisasi atau perusahaan yang telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari hal yang sederhana, pernghitungan bunga dalam jumlah besar, dan juga navigasi pesawat terbang atau peluru kendali. Kerugian tersebut dapat pula berupa kebocoran data dan dapat menimbulkan dampak yang akan merugikan bagi suatu perusahaan atau organisasi seperti kehilangan klien, pelanggan, perhitungan matematis yang sulit dipercaya, dan juga dapat menggangu kelangsungan hidup perusahaan.
D. Penggunaan komputer yang di salah gunakan
Tingginya tingkat penyalahgunaan komputer menjadi salah satu alasan mengapa audit sistem informasi diperlukan. Banyak sekali pihak yang tidak bertanggungjawab dapat melakukan kejahatan komputer seperti Hacker, Cracker dan Virus.
a. Hacker : Merupakan seseorang yang dengan sengaja masuk ke dalam suatu sistem tanpa izin. Mereka melakukan hal tersebut biasanya hanya untuk membuat dirinya sendiri atau kelompoknya bangga karena telah berhasil menembus sistem keamanan dari suatu perusahaan atau organisasi, tanpa ada maksud untuk merusak atau mengambil sesuatu atas apa yang telah dilakukan.
b. Cracker : Cracker memasuki suatu sistem yang memiliki tujuan untuk mengambil keuntungan sebanyak-banyaknya seperti mengubah, merusak, atau bahkan menghancurkan sistem tersebut.
c. Virus : Merupakan sebuah program komputer yang melekatkan diri dan menjalankan dirinya sendiri pada suatu data. Virus meriplikasi dirinya sendiri secara aktif dan mengganggu atau merusak suatu sistem operasi, data, dan bahkan mengacaukan sistem.
Kejahatan komputer juga dapat dilakukan oleh karyawan yang merasa tidak puas dengan kebijaksanaan perusahaan, baik yang masih bekerja, sudah berhenti, keluar, diberhentikan dari perusahaan tersebut dan bahkan yang pindah bekerja ke perusahaan lain. Dan hal tersebut dilakukan untuk memperoleh keuntungan atau manfaat dalam bersaing. Oleh karena itu audit sangat diperlukan dan terdapat dua hal utama yang harus diperhatikan pada saat melakukan audit atau pemrosesan data elektronik seperti pengumpulan bukti dan evaluasi bukti.
E. Kesalahan pada proses perhitungan
Sistem Informasi sering digunakan untuk melakukan proses menghitung yang rumit karena memiliki kemampuan untuk mengolah data secara tepat dan akurat, namun juga menimbulkan resiko kesalahan. Tanpa adanya pengembangan sistem yang baik, tentu saja dapat terjadi kesalahan menghitung dan yang lebih buruk adalah sistem yang baru yang sudah dibuat akan sulit di deteksi tanpa ada proses audit yang dilakukan.
F. Nilai investasi yang tinggi untuk perangkat keras dan perangkat lunak komputer
Investasi yang dikeluarkan suatu perusahaan tentu sangat besar dan sulit untuk mengukur manfaat yang dapat diberikan oleh suatu sistem atau teknologi informasi.
3. Manfaat Audit Teknologi Informasi
- Manfaat pada saat Implementasi (Pre-Implementation Review)
a. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
b. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
c. Mengetahui apakah outcome sesuai dengan harapan manajemen.
- Manfaat setelah sistem live (Post-Implementation Review)
a. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
b. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
c. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
d. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
e. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
f. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.
Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
- Tahap-tahap Audit teknologi Informasi
Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :
1. Tahap Pemeriksaan Pendahuluan.
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit.
2. Tahap Pemeriksaan Rinci.
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.
3. Tahap Pengujian Kesesuaian.
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri.
4. Tahap Pengujian Kebenaran Bukti.
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) :
a. Mengidentifikasi kesalahan dalam pemrosesan data
b. Menilai kualitas data
c. Mengidentifikasi ketidakkonsistenan data
d. Membandingkan data dengan perhitungan fisik
e. Konfirmasi data dengan sumber-sumber dari luar perusahaan.
5. Tahap Penilaian Secara Umum atas Hasil Pengujian.
Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup :
(1) pengendalian umum
(2) pengendalian aplikasi, yang terdiri dari :
(a) pengendalian secara manual
(b) pengendalian terhadap output sistem informasi
(c) pengendalian yang sudah diprogram.
- Jenis jenis audit teknologi informasi
a. Sistem dan aplikasi.
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
b. Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
c. Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
d. Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
e. Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client server, dan jaringan yang menghubungkan client dan server.
- Kelebihan teknologi
a. Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
b. Dapat memeriksa secara langsung logika pemrosesan dari system aplikasi.
c. Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.
d. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.
e. Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.
f. Cara paling efektif dengan pendekatan biaya. Karena biaya yang terkait dalam pelaksanaannya kecil.
g. Pelaksanaan audit lebih sederhana, lebih mudah dan dimengerti oleh semua orang.
h. Auditor yang memiliki pengetahuan minimal di bidang computer dapat dilatih dengan mudah untuk melaksanakan audit.
i. Tidak ada resiko terhadap kemungkinan hancurnya data sesungguhnya.
2. Alasan Perlu Audit Teknologi Informasi
A. Kerugian akibat kehilangan data
Informasi berasal dari suatu data yang diolah dan memiliki manfa’at bagi penggunanya. Oleh karena itu, data adalah suatu aset yang penting bagi suatu perusahaan atau organisasi. Informasi dari suatu data akan menjadi gambaran dari kondisi di masa lalu, sekarang, dan masa yang akan datang. Jika informasi dari data tersebut hilang, maka akan menyebabkan suatu kesalahan yang fatal.
B. Kesalahan dalam pengambilan keputusan
Saat ini masih banyak instansi yang menggunakan perangkat lunak dalam mengambil keputusan. Namun, resiko yang ditimbulkan bisa saja bukan lagi membahayakan sistem, tetapi juga dapat membahayakan nyawa seseorang seperti dalam penggunaan DSS (Sistem Penunjang Keputusan) dalam bidang kedokteran. Tingkat akurasi dan pentingnya suatu data tergantung kepada jenis keputusan yang akan diambil.
C. Kerugian yang disebabkan oleh kesalahan pemrosesan komputer
Banyak organisasi atau perusahaan yang telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari hal yang sederhana, pernghitungan bunga dalam jumlah besar, dan juga navigasi pesawat terbang atau peluru kendali. Kerugian tersebut dapat pula berupa kebocoran data dan dapat menimbulkan dampak yang akan merugikan bagi suatu perusahaan atau organisasi seperti kehilangan klien, pelanggan, perhitungan matematis yang sulit dipercaya, dan juga dapat menggangu kelangsungan hidup perusahaan.
D. Penggunaan komputer yang di salah gunakan
Tingginya tingkat penyalahgunaan komputer menjadi salah satu alasan mengapa audit sistem informasi diperlukan. Banyak sekali pihak yang tidak bertanggungjawab dapat melakukan kejahatan komputer seperti Hacker, Cracker dan Virus.
a. Hacker : Merupakan seseorang yang dengan sengaja masuk ke dalam suatu sistem tanpa izin. Mereka melakukan hal tersebut biasanya hanya untuk membuat dirinya sendiri atau kelompoknya bangga karena telah berhasil menembus sistem keamanan dari suatu perusahaan atau organisasi, tanpa ada maksud untuk merusak atau mengambil sesuatu atas apa yang telah dilakukan.
b. Cracker : Cracker memasuki suatu sistem yang memiliki tujuan untuk mengambil keuntungan sebanyak-banyaknya seperti mengubah, merusak, atau bahkan menghancurkan sistem tersebut.
c. Virus : Merupakan sebuah program komputer yang melekatkan diri dan menjalankan dirinya sendiri pada suatu data. Virus meriplikasi dirinya sendiri secara aktif dan mengganggu atau merusak suatu sistem operasi, data, dan bahkan mengacaukan sistem.
Kejahatan komputer juga dapat dilakukan oleh karyawan yang merasa tidak puas dengan kebijaksanaan perusahaan, baik yang masih bekerja, sudah berhenti, keluar, diberhentikan dari perusahaan tersebut dan bahkan yang pindah bekerja ke perusahaan lain. Dan hal tersebut dilakukan untuk memperoleh keuntungan atau manfaat dalam bersaing. Oleh karena itu audit sangat diperlukan dan terdapat dua hal utama yang harus diperhatikan pada saat melakukan audit atau pemrosesan data elektronik seperti pengumpulan bukti dan evaluasi bukti.
E. Kesalahan pada proses perhitungan
Sistem Informasi sering digunakan untuk melakukan proses menghitung yang rumit karena memiliki kemampuan untuk mengolah data secara tepat dan akurat, namun juga menimbulkan resiko kesalahan. Tanpa adanya pengembangan sistem yang baik, tentu saja dapat terjadi kesalahan menghitung dan yang lebih buruk adalah sistem yang baru yang sudah dibuat akan sulit di deteksi tanpa ada proses audit yang dilakukan.
F. Nilai investasi yang tinggi untuk perangkat keras dan perangkat lunak komputer
Investasi yang dikeluarkan suatu perusahaan tentu sangat besar dan sulit untuk mengukur manfaat yang dapat diberikan oleh suatu sistem atau teknologi informasi.
3. Manfaat Audit Teknologi Informasi
- Manfaat pada saat Implementasi (Pre-Implementation Review)
a. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
b. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
c. Mengetahui apakah outcome sesuai dengan harapan manajemen.
- Manfaat setelah sistem live (Post-Implementation Review)
a. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
b. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
c. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
d. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
e. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
f. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Komentar
Posting Komentar