Metodologi Audit Teknologi Informasi

Metodologi Audit Teknologi Informasi

Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut :

  1.  Tahapan Perencanaan

Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.

  2.  Mengidentifikasikan Resiko Dan Kendali

Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.

  3.  Mengevaluasi Kendali Dan Mengumpulkan Bukti-Bukti

Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.

  4.  Mendokumentasikan

Mengumpulkan temuan-temuan dan mengidentifikasikan dengan auditer.

  5.  Menyusun Laporan

Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.

Jenis-jenis Audit Teknologi Informasi terbagi menjadi 2, yaitu :

 

  1.      Audit Around The Computer

      hanya memeriksa dari sisi user saja dan pada masukan dan keluaranya tanpa memeriksa lebih terhadap program atau sistemnya. Audit ini dilakukan pada saat:

a.       Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat mata dan dilihat secara visual.

b.      Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.

c.       Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.

Kelebihan dari Audit ini :

a.       Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam.

b.      Tidak harus mengetahui seluruh proses penanganan sistem.

c.       Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual.

d.      Tidak membuat auditor memahami sistem komputer lebih baik.

e.       Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam system.

f.        Lebih berkenaan dengan hal yang lalu daripada audit yang preventif.

g.      Kemampuan komputer sebagai fasilitas penunjang audit tidak terpakai.

h.      Tidak mencakup keseluruhan maksud dan tujuan audit.

  2.      Audit Through The Computer

    Dimana auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba proses program dan sistemnya atau yang disebut dengan white box, sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui sistem bagaimana sistem dijalankan pada proses tertentu. Audit ini dilakukan pada saat:

a.    Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.

b.  Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.

Kelebihan dari Audit ini :

a.       Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.

b.      Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi.

c.       Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating.

d.      Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.

e.       Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.

 

    

  Alasan Diperlukannya Audit : 

 

  1.      Kerugian akibat kehilangan data

      Informasi berasal dari suatu data yang diolah dan memiliki manfa’at bagi penggunanya. Oleh karena itu, data adalah suatu aset yang penting bagi suatu perusahaan atau organisasi. Informasi dari suatu data akan menjadi gambaran dari kondisi di masa lalu, sekarang, dan masa yang akan datang. Jika informasi dari data tersebut hilang, maka akan menyebabkan suatu kesalahan yang fatal. 

 

  2.      Kesalahan dalam pengambilan keputusan

     Saat ini masih banyak instansi yang menggunakan perangkat lunak dalam mengambil keputusan. Namun, resiko yang ditimbulkan bisa saja bukan lagi membahayakan sistem, tetapi juga dapat membahayakan nyawa seseorang seperti dalam penggunaan DSS (Sistem Penunjang Keputusan) dalam bidang kedokteran. Tingkat akurasi dan pentingnya suatu data tergantung kepada jenis keputusan yang akan diambil. 

 

  3.      Kerugian yang disebabkan oleh kesalahan pemrosesan computer

   Banyak organisasi atau perusahaan yang telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari hal yang sederhana, pernghitungan bunga dalam jumlah besar, dan juga navigasi pesawat terbang atau peluru kendali. Kerugian tersebut dapat pula berupa kebocoran data dan dapat menimbulkan dampak yang akan merugikan bagi suatu perusahaan atau organisasi seperti kehilangan klien, pelanggan, perhitungan matematis yang sulit dipercaya, dan juga dapat menggangu kelangsungan hidup perusahaan. 

 

  4.    Penggunaan komputer yang di salah gunakan

    Tingginya tingkat penyalahgunaan komputer menjadi salah satu alasan mengapa audit sistem informasi diperlukan. Banyak sekali pihak yang tidak bertanggungjawab dapat melakukan kejahatan komputer seperti Hacker, Cracker dan Virus.

 

a.       Hacker : Merupakan seseorang yang dengan sengaja masuk ke dalam suatu sistem tanpa izin. Mereka melakukan hal tersebut biasanya hanya untuk membuat dirinya sendiri atau kelompoknya bangga karena telah berhasil menembus sistem keamanan dari suatu perusahaan atau organisasi, tanpa ada maksud untuk merusak atau mengambil sesuatu atas apa yang telah dilakukan.

b.      Cracker : Cracker memasuki suatu sistem yang memiliki tujuan untuk mengambil keuntungan sebanyak-banyaknya seperti mengubah, merusak, atau bahkan menghancurkan sistem tersebut.

c.       Virus : Merupakan sebuah program komputer yang melekatkan diri dan menjalankan dirinya sendiri pada suatu data. Virus meriplikasi dirinya sendiri secara aktif dan mengganggu atau merusak suatu sistem operasi, data, dan bahkan mengacaukan sistem.

 

     Kejahatan komputer juga dapat dilakukan oleh karyawan yang merasa tidak puas dengan kebijaksanaan perusahaan, baik yang masih bekerja, sudah berhenti, keluar, diberhentikan dari perusahaan tersebut dan bahkan yang pindah bekerja ke perusahaan lain. Dan hal tersebut dilakukan untuk memperoleh keuntungan atau manfaat dalam bersaing. Oleh karena itu audit sangat diperlukan dan terdapat dua hal utama yang harus diperhatikan pada saat melakukan audit atau pemrosesan data elektronik seperti pengumpulan bukti dan evaluasi bukti. 

 

v5.      Kesalahan pada proses perhitungan

      Sistem Informasi sering digunakan untuk melakukan proses menghitung yang rumit karena memiliki kemampuan untuk mengolah data secara tepat dan akurat, namun juga menimbulkan resiko kesalahan. Tanpa adanya pengembangan sistem yang baik, tentu saja dapat terjadi kesalahan menghitung dan yang lebih buruk adalah sistem yang baru yang sudah dibuat akan sulit di deteksi tanpa ada proses audit yang dilakukan. 

  6.      Nilai investasi yang tinggi untuk perangkat keras dan perangkat lunak computer

     Investasi yang dikeluarkan suatu perusahaan tentu sangat besar dan sulit untuk mengukur manfaat yang dapat diberikan oleh suatu sistem atau teknologi informasi.

  Manfaat Audit IT :

  1.      Manfaat pada saat Implementasi (Pre-Implementation Review)

a.       Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.

b.      Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.

c.       Mengetahui apakah outcome sesuai dengan harapan manajemen.

  2.      Manfaat setelah sistem live (Post-Implementation Review)

a.       Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.

b.      Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.

c.       Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.

d.      Memberikan reasonable assurance bahwa sistem informasi telah sesuai  dengan kebijakan atau prosedur yang telah ditetapkan.

e.       Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.

f.        Membantu dalam penilaian apakah initial proposed values telah terealisasi  dan saran tindak lanjutannya.

 

 

Read More

Pengertian Audit, Audit Teknologi Informasi, Sejarah Audit, Jenis-Jenis Audit Teknologi Informasi & Kesimpulan.

Pengertian Audit Menurut Para Ahli.

1. Pengertian Auditing Menurut (Sukrisno Agoes , 2004), auditing adalah

“Suatu pemeriksaan yang dilakukan secara kritis dan sistematis oleh pihak yang independen, terhadap laporan keuangan yang telah disusun oleh manajemen beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan tersebut.”

2. Pengertian Auditing menurut (Arens dan Loebbecke, 2003), auditing sebagai:

“Suatu proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dengan kriteria-kriteria yang telah ditetapkan. Auditing seharusnya dilakukan oleh seorang yang independen dan kompeten.”

3. Pengertian Auditing Menurut (Mulyadi , 2002), auditing merupakan:

“Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.”

Pengertian Audit: Apa itu Audit?

       Audit berarti membandingkan antara kegiatan yang diaudit dan kegiatan yang seharusnya terjadi, membandingkan antara kondisi dan kriterianya. Pengertian audit menurut PSAK (Pernyataan Standar Audit Keuangan) adalah suatu proses sistematik yang bertujuan untuk memperoleh dan mengevaluasi bukti yang dikumpulkan atas pernyataan atau asersi tentang aksi-aksi ekonomi, kejadian-kejadian dan melihat tingkat hubungan antara pernyataan atau asersi dan kenyataan, serta mengomunikasikan hasilnya kepada yang berkepentingan. Menurut Sukrisno Agoes, pengertian audit adalah suatu pemeriksaan yang dilakukan secara kritis dan sistematis oleh pihak independen terhadap laporan keuangan yang telah disusun oleh pihak manajemen beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya dengan tujuan untuk dapat memberikan pendapat mengenai laporan kewajaran laporan keuangan tersebut.

      Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor tujuannya adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima.

Audit teknologi informasi (Inggris : information technology (IT) audit atau information systems (IS) audit)     adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. 


PENGERTIAN AUDIT IT.

          Secara umum Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.

         Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.

Sejarah audit

        Audit sudah dikenal dahulu pada zaman Mesopotamia dengan ditemukannya simbol-simbol pada angka-angka transaksi keuangan seperti titik, cek list, dan lain-lain. Di Mesir audit terlihat dari beberapa transaksi keuangan yang diperiksa oleh auditor. Di Yunani menerapkan audit namun untuk posisi ini kerajaan menempatkan para budak agar jika ada penyimpangan mudah untuk mencari informasi dengan cara menyiksa para budak tersebut. Dan di Romawi, audit menggunakan sistem "dengar transaksi keuangan", jadi setiap transaksi disaksikan oleh auditor.

        Auditing adalah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seseorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dimaksud dengan kriteria-kriteria yang telah ditetapkan (Arens & Leobbecke ; 1998) sedangkan menurut R.K Mautz,Husain A sharaf ;1993 mendefinisikan auditing sebagai rangkaian praktek dan prosedur, metode dan teknik, suatu cara yang hanya sedikit butuh penjelasan, diskripsi, rekonsiliasi dan argumen yang biasanya menggumpal sebagai teori. Selanjutnya Mulyadi & Kanaka Puradiredja (1998) mendifinisikan auditing adalah proses sistematis untuk mempelajari dan mengevaluasi bukti secara objektip mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.

JENIS AUDIT
1.   Ditinjau Dari Luas Pemeriksaan

a.       Pemeriksaan Umum (General Audit)

Adalah pemeriksaaan umum atas laporan keuangan yang dilakukan oleh Kantor Akuntan Publik (KAP) yang indipendent dengan tujuan dapat menilai sekaligus memberikan opini mengenai kewajaran laporan keuangan.

b.      Pemeriksaan Khusus (Special Audit)

Merupakan suatu pemeriksaan yang hanya terbatas hanya pada permintaan audit yang dilakukan oleh Kantor Akuntan Publik (KAP). Dengan memberikan opini.

     2.       Ditinjau Dari Bidang Pemeriksaan 
              a.       Audit Laporan Keuangan (Financial Statement Audit)

Berkaitan dengan kegiatan mengumpulkan dan mengevaluasi bukti tentang laporan-laporan suatu entitas dengan tujuan memberikan pendapat (opini) tentang laporan tersebut apakah sesuai dengan kriteria yang ditetapkan sesuai prinsip-prinsip akuntansi yang berlaku umum. 
b.      Audit Operasional (Management Audit)

Adalah jenis pemeriksaan terhadap kegiatan operasi suatu perusahaan. meliputi kebijakan akuntansi dan kebijakan operasional manajemen yang telah ditetapkan, dengan tujuan untuk mengetahui kegiatan operasi yang dilakukan berjalan  secara efektif dan efisien.

      c.       Audit Ketaatan (Compliance Audit)

       Yaitu jenis pemeriksaan yang tujuanya untuk mengetahui apakah perusahaan telah mentaati peraturan dan kebijakan-kebijakan yang nerlaku baik yang di tetapkan oleh pihak intern maupun pihak ekstern entitas/perusahaan. Audit ketaatan berfungsi untuk menentukan sejauh mana perusahaan mentaati peraturan, kebijakan, peraturan pemerintah bahkan hukum yang harus dipatuhi oleh entitas yang di audit.

      d.      Audit Sistem Informasi

    Yaitu pemeriksaan yang dilakukan Kantor Akuntan Publik (KAP) terhadap perusahaan yang melakukan proses data akuntansi, umumnya menggunakan system Elektronik Data Processing (EDP). Auditor harus memperhatikan hal-hal berikut :

·    Perlengkapan keamanan melindungi perlengkapan computer baik program, komunikasi, atau data dari akses yang tidak sah, modifikasi bahkan penghancuran.

·  Pengembangan program yang dilakukan atas otorisasi khusus dan umum dari pihak manajemen perusahaan.

·    Pemrosesan transaksi, file, laporan dan catatan computer dengan akurat dan lengkap.

·    Data file laporan yang tersimpan di computer sangat dijaga kerahasiaanya.

      e.       Audit Forensik

      Tujuan dilakukan audit forensic adalah sebagai upaya pencegahan terjadinya kecurangan (fraud). Hal yang dapat dilakukan audit forensik termasuk :

·    Investigasi kriminal

·    Indikasi kecurangan dalam bisnis atau karyawan

·    Mengetahui kerugian suatu bisnis,

      f.        Audit Investigasi

   Yang dimaksud audit investigasi adalah serangkaian kegiatan mengenali (recorganized), menidentifikasi (Identify) dan menguji (examine) fakta-fakta dan informasi yang ada guna mengungkap kejadian yang sebenarnya dalam rangka pembuktian demi mendukung proses hukum atas dugaan penyimpangan yang dapat merugikan keuangan suatu entitas (organisasi/perusahaan/negara/daerah).

      g.      Audit Lingkungan

     Menurut (Kep. Men. LH 42/1994) audit lingkungan adalah proses manajemen yang meliputi evaluasi secara sistematik, tercatat (terdkumentasi), serta obyekttif tentang bagaimana suatu kinerja manajemen organisasi  yang bertujuan memfasilitasi kendali manajemen terhadap upaya pengendalian dampak lingkungan dan pemanfaatan kebijakan usaha terhadap perundang-undangan tentang pengelolaan lingkungan. 


3.  Ditinjau Dari Kelompok Pelaksana Audit (Auditor)

     
a.       Auditor Internal

    Mempunyai tugas membantu manajemen puncak (top management) dalam mengawasi asset (saveguard of asset) dan mengawasi kegiatan operasional perusahaan sehari-hari. bekerja untuk perusahaan yang mereka audit, oleh karena itu tugas auditor intern adalah mengaudit manajemen perusahaan termasuk compliance audit.

     
b.      Auditor Ekstern

    Bekerja untuk lembaga / kantor akuntan publik (pihak ke-3) yang statusnya diluar struktur perusahaan yang mereka audit dan bekerja secara independent dan objektif. Umumnya auditor ekstern menghasilkan laporan financial audit.

     
c.       Auditor Pajak

    Mempunyai tugas melakukan ketaatan wajib pajak yang diaudit menurut undang-undang perpajakan yang berlaku. Di Indonesia dilaksanakan oleh Direktorat Jendral Pajak (DJP) yang berada dibawah naungan Departemen Keuangan Republik Indonesia.

    
d.      Auditor Pemerintah

      Adalah lembaga yang mempunyai tugas menilai kewajaran informasi laporan keuangan instansi pemerintah atas pelaksanaan program dan penggunaan asset milik pemerintah. Audit instansi pemerintah umumnya dilaksanakan oleh Badan Pemeriksa Keuangan (BPK) atau Badan Pemeriksa Keuangan dan Pembangunan (BPKP).

Kesimpulan  :

Audit Teknologi Informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Namun, secara umum Audit Teknologi Informasi adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit sudah dikenal dahulu pada zaman Mesopotamia dengan ditemukannya simbol-simbol pada angka-angka transaksi keuangan seperti titik, cek list, dan lain-lain. Di Mesir audit terlihat dari beberapa transaksi keuangan yang diperiksa oleh auditor. Audit memiliki 3 jenis, yaitu ditinjau dari Luas Pemeriksaan, Badan Pemeriksaan, dan Kelompok Pelaksanaan Audit (Auditor). Pada Luas Pemeriksaan terdapat 2 macam, yaitu Pemeriksaan Umum dan Khusus. Pada Badan Pemeriksaan terdapat 7 macam, yaitu Audit Laporan Keuangan, Operasional, Ketaatan, Sistem Informasi, Forensik, Investigasi, dan Lingkungan. Sedangkan pada bagian auditor terdapat 4 macam yaitu, Auditor Internal, Eksternal, Pajak dan Pemerintah.

Read More