AUDIT TEKNOLOGI SISTEM INFORMASI

 

 

   

Nama                     : Amylia Nurrizky Yudhistiara

Kelas / NPM         : 4KA21 / 10120135

Mata Kuliah         : Audit Teknologi System Informasi

Dosen                    : Kurniawan B. Prianto, S.Kom., SH, MM

 

AUDIT TEKNOLOGI SISTEM INFORMASI

 

1.     Definisi Kontrol Dan Audit Sistem Informasi

 

Audit sistem informasi adalah fungsi dari organisasi yang mengevaluasi keamanan aset, integritas data, efektifitas dan efisiensi sistem dalam sistem informasi berbasis komputer. Selain itu Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.

Audit adalah aktivitas pengumpulan dan pemeriksaan bukti terkait suatu informasi untuk menentukan dan membuat laporan tentang tingkat kesesuaian antara informasi dengan kriteria yang ditetapkan. Suatu proses sistematis mendapatkan dan mengevaluasi bukti-bukti secara objektif sehubungan dengan asersi atas tindakandan peristiwa ekonomi untuk memastikan tingkat kesesuaian antara asersi-asersi tersebut danmenetapkan kriteria serta mengkomunikasikan hasilnya kepada pihak - pihak yang berkepentingan. (Messi eret al 2006).

Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti bukti tindakan ekonomi, guna memberikan asersi/ pernyataan dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kretaria yang berlaku dan mengkomunikasikan hasilnya kepada pihak yang terkait. (Wardani, 2014).

Audit adalah : Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian 5 ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataanpernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasilhasilnya kepada pemakai yang berkepentingan. (Mulyadi, 2014:9).

Pada awal konsep / bidang kontrol internal mungkin hanya merupakan mekanisme yang sangat tinggi dari segi pandang manajemen perusahaan yaitu sebagai sistem yang dapat ,menjamin dipatuhinya kebijakan perusahaan oleh para pegawai, melindungi aset perusahaan, dan menghindari terjadinya kesalahan / kekeliruan dan penyalahgunaan.

Audit sistem informasi adalah proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien ( Weber dalam Yaner, Tanuwijaya, & Sutomo, 2018: 2).

Pengertian Sistem adalah kumpulan dari elemen-elemen berupa data, jaringan data, jaringan kerja dari prosedur-prosedur yang saling berhubungan, sumber daya manusia, teknologi baik hardware maupun software yang saling berinteraksi sebagai satu kesatuan untuk mencapai tujuan/sasaran tertentu yang sama. (Maniah dan Dini Hamidin, 2017).

Pengertian Audit Sistem Informasi Beberapa ahli mengemukakan bahwa pengertian audit sistem informasi adalah sebagai berikut :

a.     Audit sistem informasi adalah kegiatan yang dilakukan dengan tujuan untuk menilai apakah pengendalian sistem informasi telah dapat memberikan keyakinan yang memadai atas pengamanan aset, integritas data, efektivitas, dan efisiensi. ( I Putu Agus Swastika dan Lanang Agung Raditya Putra 2016)

b.     Audit sistem informasi adalah proses pengumpulan dan evaluasi buktibukti untuk menentukan apakah sistem komputer yang digunakan telah pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. (Tata Sutabri, 2012)

c.     Audit sistem informasi adalah pemeriksaan atau audit yang dilaksanakan dalam rangka IT Governance, merupakan audit operasional secara khusus terhadap pengelolaan sumber daya informasi. (Sanyoto Gondodiyoto, 2007)

Secara umum audit teknologi informasi dimaksudkan untuk mengevaluasi tingkat kesesuaian antara teknologi informasi dengan prosedur bisnis (business processes) perusahaan, untuk mengetahui apakah suatu teknologi informasi telah didesain dan diimplementasikan secara efektif, efisien, dan ekonomis. Sehingga, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai (Gondodiyoto, 2017).

Audit Teknologi Informasi adalah mengevaluasi dan mengumpulkan bukti dari adanya sebuah sistem komputer untuk menjaga integritas data serta melindungi sistem komputer yang digunakan. Integritas data yang dijaga merupakan aset perusahaan dalam mencapai tujuan perusahaan secara efektif dan menggunakan sumber daya yang ada. Audit Teknologi Informasi mencakup berbagai macam ilmu yang menjadi suatu kesatuan, diantaranya Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntasi, Ilmu Komputer, dan Behavioral Science (Isa, 2012a).

Para auditor sistem informasi secara khusus berkonsentrasi pada evaluasi kehandalan atau efektifitas pengendalian / kontrol sistem. Kontrol adalah sebuah sistem untuk mencegah, mendeteksi atau memperbaiki situasi yang tidak teratur. Terdapat tiga aspek penting yang berkaitan dengan definisi kontrol di atas, yaitu :

a.     Kontrol adalah sebuah sistem, dengan kata lain kontrol terdiri atas sekumpulan komponen-komponen yang saling berhubungan dan bekerja sama untuk mencapai tujuan yang sama.

b.     Fokus dari kontrol adalah situasi yang tidak teratur, dimana keadaan ini bisa terjadi jika ada masukan yang tidak semestinya masuk ke dalam sistem.

c.     Kontrol digunakan untuk mencegah, mendeteksi dan memperbaiki situasi yang tidak teratur, sebagai contoh :

a)     Preventive control : instruksi yang diletakkan pada dokumen untuk mencegah kesalahan pemasukan data

b)    Detective control : Kontrol yang diletakkan pada program yang berfungsi mendeteksi kesalahan pemasukan data

c)     Corrective control : program yang dibuat khusus untuk memperbaiki kesalahan pada data yang mungkin timbul akibat gangguan pada jaringan, komputer ataupun kesalahan user.

Secara umum, fungsi dari kontrol adalah untuk menekan kerugian yang mungkin timbul akibat kejadian yang tidak diharapkan yang mungkin terjadi pada sebuah sistem. Tugas auditor adalah untuk menetapkan apakah kontrol sudah berjalan sesuai dengan yang diharapkan untuk mencegah terjadinya situasi yang tidak diharapkan. Auditor harus dapat memastikan bahwa setidaknya ada satu buah kontrol yang dapat menangani resiko bila resiko tersebut benar-benar terjadi.

Sumber :

·       https://media.neliti.com/media/publications/219156-pelaksanaan-kontrol-dan-audit-sistem-inf.pdf

·       https://osf.io/ngqxh/download

·       https://repository.nusamandiri.ac.id/repo/files/237916/download/Modul-Audit-Sistem-Informasi-dan-Tata-Kelola..pdf

 

 

2.     Motivasi Dan Kebutuhan Terhadap Kontrol Dan Audit Sistem Informasi

 

Pengertian Motivasi Kata Motivasi berasal dari kata Latin “Motive” yang berarti dorongan, daya penggerak atau kekuatan yang terdapat dalam diri organism yang menyebabkan organism itu bertindak atau berbuat. Selanjutnya diserap dalam bahasa Inggris motivation berarti pemberian motiv, penimbulan motiv atau hal yang menimbulkan dorongan atau keadaan yang menimbulkan dorongan.

Sedangkan penerapan TIK diperusahan seiring berjalannya waktu akan banyak mengalami perubahan, karena perkembangan teknologi informasi berkembang begitu cepat, baik secara h/w maupun s/h, dan telah mengakibatkan perubahan pengolahan data yang dilakukan perusahaan. Peralihan ke sistem  terkomputerisasi yang terbarukan memungkinkan data yang kompleks dapat diproses dengan cepat dan tepat, guna menghasilkan suatu informasi yang lengkap, akurat dan mutahir.

Dalam mendukung aktivitas sebuah organisasi, informasi menjadi bagian yang sangat penting, baik untuk perkembangan organisasi maupun membaca persaingan pasar dan selanjutnya dapat digunakan untuk mengambil langkah strategis dengan tujuan memenangkan persaingan. Sistem Informasi digunakan di segala bidang dalam perusahaan untuk melakukan pemprosesan data menjadi suatu informasi, dan ini merupakan sebuah kegiatan dalam organisasi yang bersifat repetitive, dan agar menghasilkan kualitas informasi yang bermutu, maka harus dilaksanakan secara sistematis dan otomatis.

Dengan demikian, sangat diperlukan adanya pengelolaan yang baik dalam sistem yang mendukung proses pengolahan data tersebut. Dalam sebuah organisasi tata kelola sistem dilakukan dengan melakukan audit. Menurut Juliandarini (2013) Audit sistem informasi (Information Systems (IS) audit atau Information technology (IT) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur sistem informasi secara menyeluruh.Menurut Romney (2004) audit sistem informasi merupakan tinjauan pengendalian umum dan aplikasi untuk menilai pemenuhan kebijakan dan prosedur pengendalian internal serta keefektivitasannya untuk menjaga asset.

Sehingga audit sistem informasi adalah suatu proses pengumpulan dan pengevaluasian bahan bukti audit untuk menentukan apakah sistem komputer perusahaan telah menggunakan asset sistem informasi secara tepat dan mampu mendukung pengamanan asset tersebut memelihara kebenaran dan integritas data dalam mencapai tujuan perusahaan yang efektif dan efisien.

Organisasi perlu melakukan audit system informasi sebagai evaluasi dan pengendalian terhadap sistem informasi yang digunakan oleh organisasi, hal ini dilakukan dengan alas an untuk :

1.     Pencegahan terhadap biaya organisasi bila terjadi data yang hilang

Kehilangan data dapat terjadi karena ketidakmampuan pengendalian terhadap pemakaian komputer. Kelalaian dengan tidak menyediakan backup yang memadai terhadap file data, sehingga kehilangan file dapat terjadi karena program komputer yang rusak, adanya sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.

2.     Pengambilan keputusan yang salah akibat informasi yang salah

Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula.

3.     Penyalahgunaan computer untuk kebutuhan diluar organisasi

Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan fisik atau mengambil data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak semestinya).

4.     Adanya nilai dari yang berharga dari perangkat keras komputer, perangkat lunak dan personel

Disamping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional dan bila software dicuri maka informasi yang rahasia dapat dijual kepada kompetitor. Personel adalah sumber daya yang paling berharga, mereka harus dididik dengan baik agar menjadi tenaga handal dibidang komputer yang profesional.

5.     Biaya yang tinggi untuk kerusakan komputer

Saat ini pemakaian komputer sudah sangat meluas dan dilakukan juga terhadap fungsi kritis pada kehidupan kita. Kesalahan yang terjadi pada komputer memberikan implikasi yang luar biasa, sebagai contoh data error mengakibatkan jatuhnya pesawat di Antartika yang menyebabkan 257 orang meninggal atau seseorang divonis masuk penjara karena kesalahan data di komputer.

6.     Kerahasiaan data atau informasi yang dimiliki perusahaan

Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.

7.     Pengontrolan pengembangan / evolusi komputer

Perkembangan Teknologi computer harus diantisipasi oleh organisasi agar dalam persaingan usaha dapat selalu diantisipasi dan kebutuhan untuk pengolahan data yang tepat dan cepat dengan teknologi yang berkesesuaian juga dapat dilakukan, jika perkembangan teknologi ini tidak diansipasi, kemungkinan gagal atau kalah bersaing menjadi lebih besar.

Sedangkan empat tujuan utama mengapa perlu dilakukannya audit sistem informasi yaitu:

1.     Mengamankan asset

Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras, perangkat lunak, fasilitas, manusia, file data, dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dngan aktiva – aktiva lainnya, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras bisa rusak karena unsur kejahatan ataupun sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat dihancurkan atau digunakan untuk tujuan yang tidak diotorisasi. Karena konsentrasi aktiva tersebut berada pada lokasi pusat sistem informasi, maka pengamanannya pun menjadi perhatian dan tujuan yang sangat penting.

2.     Menjaga integritas data

Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan (completeness), sehat dan jujur (soundness), kemurnian (purity), ketelitian (veracity). Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.

3.     Menjaga efektivitas sistem

Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, auditor sistem informasi harus tahu mengenai kebutuhan pengguna sistem atau pihak-pihak pembuat keputusan yang terkait dengan layanan sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan / informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.

4.     Mencapai efisiensi sumber daya

Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Efisiensi sistem pengolahan data menjadi penting apabila tidak ada lagi kapasitas sistem yang menganggur.

Dari alasan dan tujuan tersebut sangat jelas bahwa penting bagi sebuah organisasi untuk melakukan audit sistem informasi guna melihat kembali apakah sistem yang berjalansudah tepat dan terpenting sistem mampu untuk mendukung tercapainya tujuan organisasi.

 

Kebutuhan audit system informasi yaitu :

·       General Financial Audit

a.     Audit objective sesuai dengan standar akuntansi keuangan

b.     Referensi model adalah COSO (committee of sponsoring Organization)

·       IT Governance

a.     Audit operasional terhadap manajemen pengelolaan sumberdaya informasi

b.     Aspek – aspek : efektifitas, efesiensi, data integrity, save guarding asset, reliability, confidentiallity, availability, security.

Selain dapat dilakukan untuk sistem secara menyeluruh, dapat juga dilakukan terhadap:

·       General information review

o   Audit terhadap sistem informasi

·       Quality Assurance

o   Auditor (bukan anggota tim pengembang), membantu meningkatkan kualitas dari sistem. Auditor mewakili pimpinan proyek.

·       Postimplementation Audit

o   Apakah sistem perlu dimutakhirkan atau diperbaiki atau dihentikan.

o   Istilah audit arround dan audit through the computer tidak berlaku lagi pada audit jenis ini

 

Sumber :

·       https://dosen.perbanas.id/dasar-kebutuhan-pelaksanaan-audit-sistem-informasi-bagi-organisasi/

·       https://repository.nusamandiri.ac.id/repo/files/237916/download/Modul-Audit-Sistem-Informasi-dan-Tata-Kelola..pdf

·       https://repository.unikom.ac.id/41136/1/Pendahuluan.pptx

 

 

3.     Fondasi Audit Sistem Informasi

 

a)     Auditing tradisional

·       Filosofi pengendalian

·       Teknik pengendalian intern

·       Metodologi pengumpulan dan penilaian bukti

b)    Ilmu komputer

·       Pengetahuan teknis dalam pengamanan aset, integritas data, efektivitas dan efisiensi sistem

c)     Manajemen TI

·       Metodologi pengembangan dan implementasi TI

d)    Teknik manajemen proyek

·       Dokumentasi, standar, anggaran

e)     Ilmu perilaku

·       Isu dan permasalahan humanit

 

Sumber : https://www.academia.edu/32029795/MAKALAH_PENG_KONTROL_DAN_AUDIT_SISTEM_INFORMASI

 

4.     Jenis Audit: Audit Internal, Audit System Informasi, Audit Kecurangan (Fraud), Eksternal Audit/Audit Keuangan, Audit Internal

 

Jenis audit yaitu :

a.     Audit internal

Secara umum audit internal merupakan suatu fungsi penilaian yang independent dalam suatu organisasi untuk menguji dan mengevaluasi kegiatan organisasi yang dilaksanakan. Auditor internal berkewajiban untuk menyediakan informasi tentang kelengkapan dan keefektifan pengendalian internal.

Fungsi audit internal memerlukan pemeriksaan yang berkualitas tinggi. Fungsi audit internal tidak akan berhasil tanpa adanya orang-orang yang mempunyai pengetahuan yang cukup, daya imajinasi yang kuat, serta berinisiatif dan mempunyai kemampuan untuk berhubungan dengan orang lain. Fungsi audit internal juga ditentukan oleh bantuan dan dorongan yang penuh dan nyata dari pimpinan tertinggi di perusahaan.

Menurut Tugiman (2006:99) Tujuan audit internal adalah membantu para anggota organisasi agar mereka dapat melaksanakan tanggung jawabnya secara efektif. Tujuan audit internal mencakup pula usaha mengembangkan pengendalian efektif dengan biaya yang wajar.

Ruang lingkup audit mencakup bidang yang sangat luas dan kompleks meliputi seluruh tingkatan manajemen baik yang sifatnya administrative maupun operasional. Menurut Konsorsium Organisasi profesi Audit Internal (2004:20) menyebutkan bahwa ruang lingkup audit internal adalah melakukan evaluasi dan memberikan kontribusi terhadap peningkatan proses pengelolaan resiko, pengendalian dan governance, dengan menggunakan pendekatan yang sistematis, teratur, dan menyeluruh.

Tugas dan tanggung jawab audit internal biasanya berada pada Perusahaan yang relative besar dan memiliki banyak departemen yang memerlukan suatu fungsi penilaian seperti fungsi audit internal. Wewenang dan tanggung jawab audit internal dalam suatu organisasi juga harus ditetapkan secara jelas oleh pimpinan. Wewenang tersebut harus memberikan keleluasaan auditor intern untuk melakukan audit terhadap catatan-catatan, harta milik, operasional atau aktivitas yang sedang berjalan dan para pegawai badan usaha (Chandry, 2009:10).

Standar profesi audit internal digunakan sebagai kerangka dasar untuk mengevaluasi kegiatan dan kinerja satuan audit internal maupun audit individu auditor internal. Standar profesi audit internal terdiri dari standar atribut, standar kinerja, dan standar implementasi.  

b.     Audit system informasi

Audit system informasi perlu dilakukan karena banyaknya resiko yang perlu dihadapi oleh organisasi yang berkaitan dengan penggunaan teknologi informasi. Resiko – resiko tersebut antara lain :

1.     Kehilangan data

Data merupakan aset teknologi informasi yang sangat kritikal bagi kelangsungan operasional perusahaan. Ketika data tersebut hilang maka perusahaan akan mengalami kesulitan seperti misalnya data yang hilang adalah data penjualan maka perusahaan tersebut harus melakukan verifikasi manual atas dokumen penjualan yang dimiliki dengan menggunakan waktu yang cukup lama.

2.     Kesalahan pengambilan Keputusan

Sebuah keputusan pada umumnya diambil berdasarkan data dan informasi yang tersedia. Saat ini dalam bidang kedokteran banyak yang sudah menggunakan bantuan Decision Support System (DSS) untuk mengambil keputusan yang penting. Keputusan dokter bisa saja melakukan tindakan dengan menggunakan bantuan software tersebut. Jika pengambilan keputusan tersebut salah bisa salah, taruhannya adalah nyawa seseorang.

3.     Penyalahgunaan computer

Risiko kemungkinan penyalahgunaan teknologi yang dapat megakibatkan kerugian yang bahkan tidak terbayangkan. Risiko tersebut tersebut dapat berupa ancaman fisik seperti penghancuran dan pencurian aset dan nonfisik seperti hacking, virus, penyalahgunaan akses.

4.     Nilai investasi

Sebagian besar investasi dalam teknologi informasi memerlukan dana yang tidak sedikit dan cenderung sulit dikendalikan. Di Indonesia, belum banyak organisasi yang melakukan analisis cost & benefit sebelum melakukan investasi teknologi informasi.

5.     Aspek privasi

Banyak data dan informasi yang bersifat pribadi tersimpan dalam sistem komputer, seperti misalnya apabila kita mempunyai kartu kredit, maka data tanggal terkadang merupakan informasi pribadi akan tersimpan dalam sistem penyedia kartu kredit.

6.     Kesalahan pengoperasian computer

TI biasa digunakan untuk melakukan perhitungan yang rumit, misalnya penghitungan bunga bank. Penggunaan TI untuk mendukung proses penghitungan bunga bukannya tanpa resiko kesalahan. Resiko ini semakin besar ketika bank tersebutbaru saja berganti sistem yang sebelumnya mereka gunakan. Tanpa adanya mekanisme pengembangan sistem yang memadai, mungkin saja terjadi kesalahan penghitungan atau bahkan fraud.

7.     Evaluasi teknologi

Teknologi informasi, seperti halnya teknologi yang lain mempunyai sifat netral. Sisi baik dan sisi buruk akibat pemanfaatannya tergantung kepada siapa penggunanya dan untuk apa digunakan.

c.     Audit kecurangan (Fraud)

Audit kecurangan bertugas sebagai ahli dalam penyelidikan atau untuk menyajikan bukti di pengadilan. Audit internal, dan audit Teknologi Informasi yang umumnya juga meliputi auditor kecurangan dengan spesialisasi khusus di beberapa peusahaan besar.

d.     External audit atau audit keuangan

External audit atau audit keuangan adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi yang di audit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan data telah substantif.

 

Sumber :

• https://repository.widyatama.ac.id/server/api/core/bitstreams/31c5ef91-9277-4440-905d-43ec9b90a0a5/content
• https://osf.io/xzecv/download
• https://excitedblog.wordpress.com/2017/11/01/jenis-jenis-audit-dalam-teknologi-sistem-informasi/

 

5.     Ruang lingkup audit sistem informasi

 

Ruang lingkup audit system informasi yaitu :

•  Mengidentifikasi sistem yang ada
• Memahami seberapa besar sistem informasi mendukung kebutuhan strategis organisasi dan operasional organisasi
• Mengetahui pada bidang atau area mana, fungsi, kegiatan atau business processes yang didukung dengan sistem informasi.
• Menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh sistem dalam rangka mendukung kebutuhan para pemakainya.
• Mengetahui keterkaitan antara data, sistem pengolahan dan transfer informasi.
• Mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan.
• Membuat peta (map) dari information flows yang ada.

Sumber :

https://sif.uin-suska.ac.id/wp-content/uploads/2024/02/P1-P3-Pengantar-Audit-TI-UIN.pdf

 

6.     Jenis-jenis kontrol dan audit sistem informasi

 

Jenis kontrol audit sistem informasi yaitu :

        a.     Kontrol lingkungan (Environmental controls)

Pengendalian lingkungan meliputi hal-hal seperti kebijakan keamanan IS, standar, dan pedoman; struktur pelaporan dalam lingkungan pemrosesan IS (termasuk operasi komputer dan pemrograman); kondisi keuangan organisasi dan vendor jasa

        b.     Kontrol keamanan fisik (Physical security controls)

Kontrol keamanan fisik berkaitan dengan perlindungan terhadap perangkat keras komputer, komponen, dan fasilitas di mana mereka berada.

c.     Kontrol keamanan logis (Logical security controls)

Kontrol keamanan logis adalah yang telah dikerahkan dalam sistem operasi dan aplikasi untuk membantu mencegah akses tidak sah dan penghancuran yang disengaja atau disengaja terhadap program dan data.

d.     Kontrol operasi IS (IS operating controls)

Kontrol operasi sistem informasi, yang dirancang untuk membantu memastikan bahwa sistem informasi beroperasi secara efisien dan efektif. Kontrol ini termasuk penyelesaian tepat waktu dan akurat pekerjaan produksi, distribusi media output, kinerja cadangan dan prosedur pemulihan, kinerja prosedur pemeliharaan.

Sumber :

https://repository.nusamandiri.ac.id/repo/files/237916/download/Modul-Audit-Sistem-Informasi-dan-Tata-Kelola..pdf

 

7.     Tujuan kontrol dan audit sistem informasi

 

Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :

a.     Conformance (Kesesuaian) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu: Confidentiality (Kerahasiaan), Integrity (Integritas), Availability ( Ketersediaan ) dan Compliance (Kepatuhan).

b.     Performance (Kinerja) Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu: Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Adapun tujuan yang lain adalah :

a.     Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.

b.     Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan.

Menurut Gallegos dalam bukunya “Audit And Control Of Information System” menyatakan audit sistem informasi meliputi beberapa tahapan yakni:

·       Perencanaan (Planning) Meliputi aktivitas utama, yakni:

a.     Menetapkan ruang lingkup dan tujuan audit

b.     Mengorganisasikan tim audit

c.     Memahami tentang oprasi bisnis klien

d.     Mengkaji ulang hasil audit sebelumnya

e.     Menyiapkan program audit

·       Pemeriksaan Lapangan (Field Work)

Pada tahap ini yang dikerjakan yaitu mengumpulkan informasi yang dilakukan dengan cara mengumpujlkan data dengan pihak-pihak yang berhubungan. Hal ini bisa dilakukan dengan cara penerapan metode pengumpulan data yakni wawancara, quisioner atau melakukan survey.

·       Pelaporan (Reporting)

Setelah pengumpulan data, maka akan diperoleh data yang akan diproses untuk dihitung menurut perhitungan maturity level. Di tahapan ini akan dilakukan pemberian informasi dalam bentuk hasil-hasil dari audit.

·       Tindak Lanjut (Follow Up)

Tahapan ini dilakukan dengan pemberian laporan hasil audit dalam bentuk rekomendasi tindakan perbaikan kepada pihak manajemen objek yang diteliti, untuk kemudian wewenang perbaikan menjadi tanggung jawah manajemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuan untuk perbaikan di masa yang akan datang.

Tujuan audit sistem informasi menurut Ron Weber “1999:11-13” secara garis besar terbagi menjadi empat tahap yaitu :

1.     Pengamanan Aset

Aset informasi suatu perusahaan seperti perangkat keras “hardware”, perangkat lunak “software”, sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.

2.     Menjaga Integritas Data

Integritas data “data integrity” adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti: kelengkapan, kebenaran dan keakuratan. Jika integritas data tidak terpelihara maka suatu perusahaan tidak akan lagi memiliki hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian.

3.     Efektifitas Sistem

Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan, suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.

4.     Efisiensi Sistem

Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

5.     Ekonomis

Ekonomis mencerminkan kalkulasi untuk rugi ekonomi “cost/benefit” yang lebih bersifat kuantifikasi nilai moneter “uang”. Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

6.     Ketersediaan

Berhubungan dengan ketersediaan dukukan/layanan teknologi informasi TI. TI hendaknya dapat dapat mendukung secara kontinyu terhadap proses bisnis.Semakin sering terjadi gangguan maka berarti tingkat ketersediann sistem rendah.

7.     Kerahasian

Fokusnya pada proteksi terhadap informasi dan supaya terlindung dari akses dari pihak-pihak yang tidak berwenang.

8.     Kehandalan

Kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organisasi, pelaporan dan pertanggunjawaban.

9.     Menjaga Intergritas Data

Integritas data adalah salah satu konsep dasar sistem informasi, data memiliki atribut atribut yaitu : kelengkapan, kebenaran, dan keakuratan.

 

Sumber :

•    https://repository.nusamandiri.ac.id/repo/files/237916/download/Modul-Audit-Sistem-Informasi-dan-Tata-Kelola..pdf
•  https://osf.io/ngqxh/download

 

8.     Pengantar proses audit

Dalam melakukan  proses audit suatu Perusahaan membutuhkan auditor SI untuk mengumpulkan bukti, mengevaluasi kekuatan dan kelemahan dari internal kontrol perusahaan berdasarkan bukti yang dikumpulkan melalui audit test, dan menyiapkan sebuah laporan audit yang menggambarkan kelemahan dan rekomendasi atau solusi untuk remediasi (Sandy & Solihin, 2021, para. 2)

Proses audit SI mengharuskan auditor SI untuk :

a.     Mengumpulkan bukti

b.     Mengevaluasi kekuatan dan kelemahan pengendalian internal berdasarkan : uji audit yang dilakukan

c.    Menyususn dan mengaudit laporan yang menyajikan : kelemahan dan rekomendasi perbaikan secara objektif kepada pemangku kepentingan.

 

Proses audit SI

Tahap -tahap dalam audit, yaitu :

1.     Perencanaan audit (audit palnning)

Sebagai langkah awal dalam audit yaitu menetapkan scope (ruang lingkup) untuk diaudit dan tujuan pemeriksaan.

2.     Pemahaman sistem dan struktur pengendalian internnya

Pemahaman sistem informasi untuk pelaksanaan transaksi, penentuan aktivitas pengendalian untuk deteksi salah saji, penentuan prosedur audit deteksi efektivitas aktivitas pengendalian.

3.     Pengumpulan bukti pemeriksaan

Bukti audit dikumpulkan dengan observasi aktivitas operasional, mempelajari dokumen, pengujian fisik atas asset, diskusi dengan karyawan dan kuisioner, mengukur ulang kinerja prosedur, pengujian analistis dan sampling, dan memeriksa dokumen sumber .

4.     Evaluasi bukti pemeriksaan

a.     Auditor mengevaluasi bukti sesuai dengan tujuan dari audit yang ditetapkan pada tahap 1

b.   Melakukan test kontrol untuk mengetahui apakah pengendalian sudah dilaksanakan sesuai dengan prosedur yang telah ditetapkan

c.     Mempertimbangkan kebutuhan bukti tambahan

d.     Dokumentasi temuan audit

e.     Melakukan substantive test

§  Test of transaction : bertujuan untuk mengevaluasi apakah terdapat kekeliruan atau kesalahan pada setiap transaksi

§ Test of balances (overall results) : bertujuan untuk menjamin laporan keuangan yang dihasilkan adalah benar dan akurat

5.     Komunikasi hasil pemeriksaan

Auditor menyiapkan laporan hasil audit mengenai temuan-temuan dan rekomendasi (saran). Dalam penyelesaian audit (completion of the audit), auditor membuat kesimpulan dan rekomendasi untuk dikomunikasikan pada manajemen.

 

Secara umum, proses audit terdiri dari 3 fase utama, yaitu planning, fieldwork/documentation, dan reporting/follow-up.

·       Proses perencanaan audit (audit planning)

Pada fase ini memeriksa proses perencanaan audit pada tingkat strategis dan taktis. Penggunaan audit berbasis resiko dan metode serta standar penilaian resiko tercakup. Evaluasi awal pengendalian internal melalui pengumpulan informasi yang tepat dan teknik evaluasi pengendalian sebagai komponen fundamental dari rencana audit dan desain rencana audit untuk mencapai berbagai lingkup audit dirinci.

·       Proses audit pemeriksaan lapangan (audit fieldwork)

Pemeriksaan lapangan audit SI dilakukan untuk memastikan bahwa kebutuhan bisnis terpenuhi melalui sistem, proses, dan infrastruktur TI dan kontrol terkait. Hal ini dicapai dengan menantang efektivitas pengendalian yang ada dan dengan mengidentifikasi kebutuhan untuk pengendalian yang lebih baik untuk memenuhi tujuan pengendalian. Kerja lapangan dikaitkan dengan setiap langkah program dalam program audit. Ini mewakili pengujian yang melihat kontrol di tempat tertentu pada suatu titik waktu. Jika ruang lingkup audit mencakup rentang waktu tertentu, bukti yang perlu dikumpulkan selama ini, terlepas dari apakah masalah diperbaiki atau diubah selama audit. Penilaian profesional akan dipanggil untuk diuji disini sekali lagi.

            Tahap ini akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapkan berbagai metode pengumpulan data yaitu: wawancara, quisioner ataupun melakukan survey ke lokasi penelitian.

·       Proses pelaporan audit (audit reporting)

Tahap reporting adalah dimana setiap maslah yang diidentifikasikan selama fase fieldwork akan divalidasi oleh manajemen. Untuk keperlan logistic, beberapa kegiatan seperti validasi masalah dapat dilakukan selama fase kerja lapangan. Manajemen juga perlu memberikan rencana pemulian untuk mengatasi masalah dan memastikan bahwa mereka tidak terulang Kembali. Draft laporan keseluruhan akan diedarkan untuk ditinjau Kembali kepada pemangku kepentingan dan manajemen. Menyetujui perubahan digabungkan dan draf yang diperbarui dikirim ke manajemen senior untuk diperiksa dan disetujui. Setelah manajemen senior menyetujui laporan tersebut akhirnya diselesaikan dan didistribusikan  ke manajemen eksekutif. Semua masalah dimasukkan ke dalam pelacakan masalah atau mekanisme pelacakan resiko yang digunakan organisasi.

 

Sumber : https://www.researchgate.net/publication/366806651_Audit_Sistem_Informasi_Teori_Framework_Dan_Studi_Kasus_Menggunakan_Framework

 

9.     Analisis resiko

·       Konsep resiko

Agar segala sesuatu berjalan sesuai yang seharusnya, maka perlu ada pengawasan. Salah satu bentuk atau cara pengawasan ialah yang disebut system pengendalian intern (internal control system) yang melekat pada system dan prosedur organisasi tersebut. Pendekatan Audit SI/TI berbasis resiko digunakan untuk menilai resiko dari poses bisnis yang berlangsung diorganisasi atau perusahaan dan yang terpenting dapat membantu pengaudit SI/TI dalam memutuskan metode pengujian yang digunakan dalm pelaksaaan audit nantinya dengan melakukan uji kepatutan atau uji secara substantif.

·       Jenis – jenis resiko

Adapun Jenis jenis resiko sebagai berikut :

1.     Risiko Bisnis (Bussiness Risks)

Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi (business goals objectives).

a.     Risiko ekstern (risk from external environment) ialah misalnya antara lain perubahan kondisi perekonomian tingkat kurs yang berubah mendadak, dan munculnya pesaing baru yang mempunyai potensi bersaing tinggi

b. Risiko internal ialah risiko yang berasal dari internal misalnya antara lain permasalahan kepegawaian, risiko-risiko yang berkaitan dengan peralatan atau mesin, risiko keputusan yang tidak tepat, dan kecurangan manajemen (Manajement Fraud).

2.     Risiko Bawaan (Inherent Risks)

Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan, jika tidak ada pengendalian intern. Misalnya kegiatan kampus, apabila tidak ada absensi/daftar kehadiran kuliah akan banyak mahasiswa yang cenderung tidak disiplin hadir mengikuti kuliah. Inherent risk atau resiko bawaan merupakan resiko kesalahan audit yang merupakan aktivitas bawaan dari proses bisnis.Resiko kesalahan tersebut bersifat indenpenden dan akan semakin tinggi jika compensating control tidak tersedia.

3.     Risiko Pengendalian (Control Risks)

Dalam suatu organisasi yang baik seharusnya sudah ada risks assessment, dan dirancang pengendalian intern secara optimal terhadap setiap potensi risiko. Risiko pengendalian ialah masih adanya risiko meskipun sudah ada pengendalian. Control Risk atau resiko kontrol merupakan resiko kesalahan yang tidak terdeteksi oleh kontrol internal itu sendiri selama proses audit berlangsung. Resiko kontrol tersebut menjadi rendah jika prosedur validasi tersedut dilakukan secara terkomputerisasi.

Risiko pengendalian tidak pernah mencapai keyakinan penuh bahwa semua salah saji material akan dapat dideteksi ataupun dicegah. Risiko pengendalian merupakan fungsi dari efektivitas struktur pengendalian inter. Semakin efektif struktur pengendalian intern perusahaan klien, semakin kecil risiko pengendaliannya. Penetapan risiko pengendalian didasarkan atas kecukupan bukti audit yang menyatakan bahwa struktur pengendalian inter klien adalah efektif. Ada dua macam risiko pengendalian, yaitu:

a)     Actual level of control risk Assessed level of control risk yang ditentukan dengan melakukan modifikasi prosedur untuk menghimpun pemahaman struktur pengendalian intern terkait dengan asersi, dan prosedur untuk melaksanakan test of control. Pada saat perencanaan audit, auditor menentukan besarnya risiko pengendalian yang direncanakan untuk setiap asersi yang signifikan.

b)    Planned assessed level of control risk ini ditentukan berdasar asumsi tentang efektivitas rancangan dan operasi struktur pengendalian intern yang relevan.

4.     Risiko Deteksi (Detection Risks)

Risiko deteksi adalah risiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup materialitas atau adanya kemungkinan fraud. Risiko deteksi mungkin dapat terjadi karena auditor ternyata dalam prosedur auditnya tidak dapat mendeteksi terjadinya existing control failures (system pengendalian intern yang ada ternyata tidak berjalan baik).

5.     Audit (Audit Risks)

Risiko audit sebenarnya adalah kombinasi dari inherent risks, control risks, dan detection risks. Risiko audit adalah risiko bahwa hasil pemeriksaan auditornya ternyata belum dapat mencerminkan keadaan yang sesungguhnya.

 

Ada Pun rumus mengetahui Resiko Audit dengan rumus dibawah :

Model Risiko Audit (audit risk) yang paling lumrah digunakan (dan diajarkan) adalah :

AR = IR x CR x DR

Dimana :

AR = Audit Risk

IR = Inherent Risk

CR = Control Risk

DR = Detection Risk

 

Mengenai jenis – jenis risiko, dalam bukunya yang berjudul Accounting Information System, F.L. Jones dan D.V. Rama (2003,p127-134) tidak membahas masalah business risk, tetapi menyebut risiko – pelaksanaan (execution risks) yang mungkin lebih sempit ruang lingkupnya. Jones dan Rama berpendapat risiko pada hakekatnya dapat dikelompokkan kedalam 4 jenis risiko, yaitu execution risks, information risks, asset protection risks, dan performance risks.

1.     Execution Risk

Execution risk adalah risiko yang berkaitan dengan tidak tercapainya sesuatu yang seharusnya dilaksanakan.

2.     Information Risk

Risiko informasi yang dimaksud oleh Jones dan Rama ini ialah risiko yang berkaitan dengan kemungkinan kesalahan atau penyalahgunaan data informasi. Risiko terjadi waktu mencatat/entri data (recording risks) serta updating risks.

3.     Asset Protection Risk

Risiko yang berkaitan dengan save guarding assets ini ialah kerusakan, hilang, atau asset tidak digunakan seperti yang seharusnya, maupun risiko yang dapat timbul terhadap assets perusahaan akibat keputusan yang salah.

4.     Performance Risk

Risiko kinerja ini adalah resiko berkaitan dengan kinerja pegawai/ kinerja perusahaan yang tidak dapat dilaksanakan sesuai tujuan/standar/ukuran yang ditetapkan. Pada hakekatnya yang bertanggung jawab dan akan mempertanggung jawabkan pengelolaan perusahaan kepada para share/stockholder dan stakeholder adalah para pengurus perusahaan, yang menurut Undang-undang Perseroan Terbatas di Indonesia ialah para anggota Dewan Direksi dan anggota Dewan Komisaris.

Dalam pelaksanaan kegiatan sehari-hari, yang melakukan tugas operasional ialah para manajer tingkat menengah, supervisor, staf dan pegawai pelaksana, yang melaksanakan tugas sesuai dengan kebijakan yang ditetapkan pimpinan. Jika mereka tidak melakukan tugas sesuai dengan yang seharusnya, atau kalau kinerjanya tidak sesuai dengan yang seharusnya. Hal ini merupakan risiko yang dipreventif, dideteksi, atau dikoreksi/diperbaiki.

Audit resiko merupakan risiko kemungkinan auditor ekstern memberikan opini yang salah terhadap fairness laporan keuangan auditee, atau temuan dan rekomendasi yang salah pada laporan hasil pemeriksaan auditor intern. Risiko ini sangat berbahaya karena auditor sudah memberikan opini atau rekomendasi bahwa “Things are okay and fine, but they are not”

Efek Risiko dalam sistem informasi ditemui pada :

1.     Strategi (Strategic): risiko dimana sistem informasi tidak sesuai dengan tujuan organisasi dan tidak mendukung pencapaian misi.

2.     Operasi (Operations): risiko dimana sistem informasi menimbulkan beban yang terlalu besar bagi organisasi. Selain itu ketergantungan organisasi terhadap suatu sistem informasi berarti apabila sistem tersebut tidak tersedia selama waktu tertentu dapat menimbulkan risiko besar bagi operasional.

3.     Pelaporan (Reporting): risiko dimana sistem informasi tidak dapat diandalkan untuk menghasilkan informasi yang akurat, lengkap dan tepat waktu.

4. Kepatuhan (Compliance): risiko dimana sistem informasi malah menimbulkanpelanggaran hukum dan regulasi yang merugikan bagi organisasi baik secara finansial maupun reputasi. Keterkaiatan antar Tujuan Bisnis dan TI akan dipaparkan dengan mengacu pada kerangka kerja COBIT. Kerangka kerja tersebut memberikan pemetaan keterkaitan antara tujuan bisnis dengan tujuan TI sehingga dapat dijadikan acuan bagi perusahaan dalam menerjemakan kebutuhan bisnis akan tersediaan TI.

·       Penilaian resiko

1.     Memperkirakan resiko dari control objective yg tidak dipenuhi, dengan menggunakan teknik analitik dan atau mengkonsultasikan sumber sumber alternative.

2.     Mendokumentasikan kelemahan kendali, serta ancaman dan kerawanan yang dihasilkan.

3.     Mengidentifikasikan dan mendokumentasikan dampak yang potensial maupun aktual.

4.     Menyediakan informasi komparatif, misalnya melalui benchmark

 

 

Secara Garis besar Metodologi dalam Audit SI dan TI akan terdiri atas beberapa tahapan anatara lain :

a.     Analisis Kondisi Eksisteing

Merupakan aktivitas dalam memahami kondisi saat ini perusahaan yang diaudit termasuk hukum dan regulasi yang berpengaruh terhadap operasional proses bisnis.

b.     Penentuan tingkat resiko

Dengan mengklasifikasikan proses bisnis yang tingkat resikonya tinggi maupun proses bisnis pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan kepada proses bisnis yang didukung oleh TI

c.     Pelaksanaan Audit SI/TI dengan mengacu kerangka kerja COBIT yang akan didahului dengan proses penentuan ruang lingkup dan tujuan audit berdasarkan hasil penentuan tingkat resiko pada tahapan sebelumnya.

d.     Penentuan rekomendasi beserta laporan dari hasil audit yang dilakukan.

 

Sumber :

https://repository.nusamandiri.ac.id/repo/files/237916/download/Modul-Audit-Sistem-Informasi-dan-Tata-Kelola..pdf

 

10.  Definisi control internal dan kontrol internal pada sistem informasi

 

Pengendalian (kontrol) internal adalah suatu keadaan di mana terdapat sistem akutansi yang memadai menjadikan akuntan perusahaan dapat menyediakan informasi keuangan bagi setiap tingkatan manajemen, para pemilik atau pemegang saham kreditur dan para pemakai laporan keuangan (stakeholder) lain, yang dijadikan dasar pengambilan keputusan ekonomi. Dengan kata lain, Pengendalian internal adalah rencana, metode, prosedur, dan kebijakan yang didesain oleh manajemen untuk memberi jaminan yang memadai atas tercapainya efisiensi dan efektivitas operasional, kehandalan pelaporan keuangan, pengamanan terhadap asset, ketaatan/kepatuhan terhadap undang-undang, kebijakan dan peraturan lain.

Sistem pengendalian intern meliputi struktur organisasi, metode dan ukuranukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan dapat dipercaya tidaknya data akuntansi mendorong efisiensi dan mendorong dipatuhinya kebijaksanaan. Dalam arti sempit, pengawasan intern merupakan pengecekan penjumlahan mendatar (crossfooting) maupun penjumlahan menurun (footing). Dalam artian luas, pengawasan intern tidak hanya meliputi pekerjaan pengecekan tetapi meliputi semua alat-alat yang digunakan manajemen untuk mengadakan pengawasan. Pengawasan intern itu meliputi struktur organisasi dan semua cara-cara serta alat yang dikoordinasikan yang digunakan dalam perusahaan dengan tujuan untuk menjaga keamanan harta perusahaan, memeriksa ketelitian dan kebenaran data akuntansi, memajukan efisiensi di dalam operasi, dan membantu dipatuhinya kebijaksanaan manajemen yang telah ditetapkan lebih dahulu

Berdasarkan dari beberapa definisi yang telah dipaparkan diatas maka dapat disimpulkan bahwa pengendalian intern adalah suatu rancangan prosedur organisasional yang mendorong terciptanya kebijakan manajemen untuk menciptakan efisiensi operasional, melindungi aktiva, serta yang terpenting untuk mencegah penyelewengan terhadap aktiva perusahaan. Dengan melihat definisi di atas maka fungsi atau a

Dengan melihat definisi di atas maka fungsi atau arti penting pengendalian intern dapat didentifikasi sebagai berikut:

1) Melindungi harta organisasi dari tindakan dan keadaan yang merugikan, misalnya pencurian, kerugian dan kerusakan.

2) Mengecek kerusakan data akuntansi, sehingga dapat menghasilkan data yang dapat diandalkan dalam pengambilan keputusan.

3) Meningkatkan efisiensi usaha dalam beroperasi. Hal ini dimaksudkan untuk menghindari pengulangan kerja yang tidak perlu dan merupakan pemborosan dalam seluruh aspek usaha.

4) Mendorong ditaatinya kebijakan manajemen yang telah ditetapkan. Manajemen membuat berbagai peraturan dan prosedur untuk pencapaian tujuan perusahaan.

 

Sumber :

• https://eprints.walisongo.ac.id/id/eprint/7293/3/BAB%20II.pdf
• https://media.neliti.com/media/publications/314765-pengendalian-internal-dalam-sistem-infor-8acbd84c.pdf

11.  Cara melakukan audit sistem informasi

 

Proses audit sistem informasi adalah proses yang berkaitan langsung dengan kompleksitas. Terkadang auditor harus menyelesaikan tugasnya dalam sistem yang sangat banyak dan kompleks. Karena kompleksitas merupakan akar permasalahan dari 7 setiap problem yang dihadapai oleh para profesional, maka para ilmuwan telah berusaha untuk membuat panduan untuk mengurangi kompleksitas tersebut, yaitu :

a.     Memecah sebuah sistem yang besar menjadi beberapa subsistem untuk dievaluasi secara terpisah

b.     Menentukan kehandalan setiap subsistem dan pengaruh setiap subsistem terhadap kehandalan sistem secara keseluruhan

 

·       Tahapan Audit

Dalam melakukan kegiatan audit, penelit memakai tahapan audit sebagai berikut :

1.     Planning, mendapatkan pemahaman yang lengkap mengenai bisnis perusahaan yang sedang dilakukan audit. Pada proses ini auditormenentukan ruanglingkup dan tujuan pengendalian, tingkat materialitas, dan outsourcing. Pada tahap ini auditor menetapkan mengapa, bagaimana,kapan dan oleh siapa audit akan dilaksanakan. Untuk mematangkan tahap perencanaan, sebuah program audit awal dipersiapkan untuk menunjukkan sifat, keluasan, dan waktu prosedur-prosedur yang dibutuhkan untuk mencapai tujuan audit dan untuk meminimalkan risiko-risiko audit.

2.     Prepare Audit Program, audit program disesuaikan dengan hardware dan software yang dimiliki perusahaan, topologi dan arsitektur jaringan, dan lingkungan serta pertimbangan khusus mengenai industri tersebut. Komponen- komponen dari audit program tersebut adalah: ruang lingkup audit,sasaran audit, prosedur audit, dan rincian administratif (perencanaan dan pelaporan).

3.     Gather Evidence, bertujuan untuk mendapatkan bukti-bukti memadai, handal, relevan, dan berguna untuk mencapai sasaran audit secara efektif. Jenis bukti yang sering ditemukan auditor pada kerja lapangan yaitu: observasi proses-proses dan keberadaan dari item fisik seperi pengoperasian komputer atau prosedur backup data, bukti dalam bentuk dokumen (seperti program change logs, sistem access logs, dan tabel otoritas), gambaran dari perusahaan seperi flowcharts, narratives, dan kebijakan dan prosedur yang tertulis), serta analisa seperti prosedur CAATs yang dijalankan pada data perusahaan.

4.     Form Conclusion, mengevaluasi bukti- bukti dan membuat suatu kesimpulan tentang hasil pemeriksaan yang pada akhirnya akan mengarah pada opini audit. Auditor juga akan melaporkan kelemahan dan kelebihan darisistem.

5.     Deliver Audit Opinion, informasi umum yang harus ada dalam sebuah laporan audit yaitu:

a.     Nama dari organisasi/perusahaan yang diaudit

b.     Judul, tanda tangan, dan tanggal

c.     Pernyataan sasaran audit dan apakah audit tersebut telah memenuhi sasaran Ruang lingkup audit, termasuk didalamnya area audit fungsional, periode audit yang tercakup, dan sistem informasi, aplikasi, atau lingkungan proses yang diaudit

d.     Pernyataan bahwa telah terjadi pembatasan ruang lingkup dimana auditor tidak dapat melaksanakan pekerjaan audit dengan memadai untuk mencapai sasaran-sasaran audit tertentu

e.     Pengguna laporan audit yang dikehendaki, termasuk beberapa pembatasan dalam pendistribusian laporan audit

f.      Standar-standar dan kriteria yang menjadi dasar auditor untuk 9 melaksanakan pekerjaan audit tersebut

g.     Penjelasan rinci mengenai temuan- temuan penting

h.     Kesimpulan dari area audit yang dievaluasi, termasuk di dalamnya syarat dan kualifikasi penting

i.      Saran-saran yang tepat untuk tindakan perbaikan danpeningkatan

j.      Peristiwa-peristiwa penting yang terjadi setelah masa fieldwork audit yang bersangkutan berakhir

6.     Follow Up, melakukan tindak lanjut dengan membuat suatu ketentuan untuk melakukan tindak lanjut bersama dengan perusahaan pada kondisi-kondisi yang dilaporkan atau defisiensi audit yang tidak ter-cover selama kegiatan audit. Tindak lanjut ini dapat dilakukan dengan menelepon pihak menejemen.

 

·       Tahapan Audit Sistem Informasi

Berikut ini terdapat beberapa tahapan audit sistem informasi, terdiri atas:

a.     Perencanaan Audit (Planning The Audit)

Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staff audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa tentang prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasikan resiko audit.

b.     Pengujian Pengendalian (Test Of Controls)

Auditor melakukan kontrol test ketika mereka menilai bahwa kontrol resiko berada pada level kurang dari maksimum, mereka mengandalkan kontrol sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor tidak 10 mengetahui apakah identifikasi kontrol telah berjalan dengan efektif, oleh karena itu diperlukan evaluasi yang spesifik.

c.     Pengujian Transaksi (Test Of Transaction)

Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah kesalahan atau proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan material pada laporan keuangan. Tes transaksi ini termasuk menelusuri jurnal dari sumber dokumen, memeriksa file dan mengecek keakuratan.

d.     Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result)

Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus diperhatikan adalah pengamatan harta dan kesatuan data. Beberapa jenis subtantif tes yang digunakan adalah konfirmasi piutang, perhitungan fisik persediaan dan perhitungan ulang aktiva tetap.

e.     Penyelesaian / Pengakhiran Audit (Completion Of The Audit)

Pada fase akhir audit, eksternal audit akan menjalankan beberapa test tambahan terhadap bukti yang ada agar dapat dijadikan laporan. Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya sistem informasi yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.

Sumber :

https://repository.nusamandiri.ac.id/repo/files/237916/download/Modul-Audit-Sistem-Informasi-dan-Tata-Kelola..pdf