1. Tabel perbandingan standar Audit SI
2. a)
Audit
Sistem Informasi adalah proses pengumpulan dan penilaian bukti-bukti untuk
menentukan apakah system computer dapat mengamankan asset, memelihara
integritas data, mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumber daya dengan efisien (Ron Weber).
Jenis audit umumnya terbagi menjadi 2, yaitu:
- Audit
Internal: suatu penilaian yang dilakukan secara independen, obyektif, dan
aktivitas konsultasi yang dirancang untuk menambah nilai dan meningkatkan
operasi organisasi.
- Audit
Eksternal: suatu pemeriksaan berkala terhadap pembukuan dan catatan dari suatu
entitas yang dilakukan oleh pihak ketiga secara independen untuk memastikan
bahwa catatan tersebut telah diperiksa dengan baik, akurat sesuai konsep,
prinsip standar akuntansi, persyaratan hukum dan memberikan pandangan yang
benar dan wajar kondisi keuangan sebuah organisasi.
Pendekatan Audit Sistem Informasi
- Pendekatan Paparan (Exposures
Approach) Fokus utama ditekankan pada jenis kesalahan yang
terjadi dalam suatu system informasi.
- Pendekatan Kendali (Control
Approach) Fokus utamanya adalah kendali-kendali didalam
suatu system informasi yang dapat digunakan untuk mengurangi kesalahan sampai
pada level yang dapat diterima.
Tahapan Audit SI menurut Ron Weber terbagi
menjadi 5, yaitu:
- Perencanaan
Audit
- Pengetesan
Kendali
- Pengetesan
Transaksi
- Pengetesan
Keseimbangan atau Keseluruhan Hasil
- Penyelesaian
Audit
Ketika
melaksanakan audit SI, seluruh auditor harus memastikan tujuan-tujuan berikut
dipenuhi:
a) Perlengkapan keamanan melindungi
perlengkapan computer, program, komunikasi, dan data dari akses yang tidak sah,
modifikasi, atau penghancuran.
b) Pengembangan dan perolehan program
dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
c) Modifikasi program dilaksanakan
dengan otorisasi dan persetujuan pihak manajemen.
d) Pemrosesan transaksi, file, laporan
telah akurat dan lengkap.
e) Data sumber yang tidak memiliki
otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan
manajerial yang telah ditetapkan.
f) File data computer telah akurat, lengkap, dan
dijaga kerahasiaannya.
Kontrol pada Sistem Informasi
- Kontrol
Pencegahan adalah suatu langkah pencegahan yang diambil sebelum keadaan
darurat, kehilangan, atau masalah terjadi.
- Kontrol
Detektif adalah sesuatu yang dirancang untuk menemukan kesalahan atau
penyimpangan setelah terjadi.
- Kontrol
Koreksi adalah program yang dibuat khusus untuk memperbaik kesalahan pada data
yang mungkin timbul akibat adanya gangguan.
Secara
umum, fungsi dari control adalah untuk menekan kerugian yang mungkin timbul
akibat kejadian yang tidak diharapkan yang terjadi pada sebuah system.
4 tujuan audit system informasi, yaitu:
- Mengamankan
asset
- Menjaga
integritas data
- Menjaga
efektivitas system
- Mencapai
efisiensi sumber daya
b) Prinsip-prinsip
Dasar Audit SI
- Kode
Etik: berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan
- Presentasi
yang wajar: kewajiban melaporkan secara jujur dan akurat
- Independen
- Perawatan
professional: implementasi dari kesungguhan dan pertimbangan yang diberikan
- Pendekatan
berdasarkan bukti/fakta
c) Standar
dan Panduan Audit SI
Standar Audit SI tidak lepas dari standar
professional seorang auditor SI. Standar professional adalah ukuran mutu
pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi
dalam menjalankan tanggungjawab profesinya. Standar profesional adalah batasan
kemampuan (knowledge, technical skill and professional attitude) minimal yang
harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan
profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh
organisasi profesi yang bersangkutan. Beberapa standar audit SI yang biasa
digunakan adalah sebagai berikut:
- ISACA : IT Standards, Guidelines, and Tools and
Techniques for Audit and Assurance and Control Professionals
- IIA : International Professional Practices
Framework / IPPF
- IASII : Standar Audit Sistem Informasi
- BI : Standar Pelaksanaan Fungsi Audit Intern
Bank / SPFAIB
- BPPT : Framework, Kode Etik & Standar,
Pedoman Umum Audit Teknologi
3. a) Kontrol
Internal, ruang lingkup control internal, dan system control internal
Kontrol internal audit
adalah upaya memastikan rencana organisasi serta prosedur-prosedur dan
catatan-catatan yang berhubungan dengan pengamanan harta kekayaan perusahaan
telah dilakukan dengan benar.
Ruang
Lingkup Kontrol Internal
- Pemeriksaan
Keuangan
Pemeriksaan
keuangan adalah pemeriksaan yang ditujukan untuk membuktikan keakuratan data
keuangan dan operasi, keefektifan pengawasan intern yang meliputi verifikasi
atas keberadaan harta benda perusahaan dan menyakinkan bahwa pengamanannya
cukup memadai dan pencatatannya dilakukan dengan tepat.
Untuk
lebih jelasnya lagi diberikan batasan financial audit sebagai berikut:
Financial
audit atau pemeriksaan keuangan adalah verifikasi eksistensi kekayaan dan
menyakinkan bahwa pengamanannya cukup dan apakah sistem akuntansi dan sistem
pelaporan dapat dipercaya termasuk pembahasan internal control.
Dari pengertian di atas maka internal auditor harus mengadakan
konfirmasi hutang dan piutang, mentest efektif atau tidaknya sistem akuntansi
yang ada dan prosedur yang berhubungan dnegan sistem internal control.
-
Pemeriksaan Manajemen
Pemeriksaan operasional
dilaksanakan pada berbagai tingaktan manajemen (level of management), objek
yang dinilai adalah aktivitas operasi, kebijaksanaan dan daya guna usaha.
Federal Financial
Institute in Canada, memberikan definisi Operasional Audit sebagai berikut:
Operational audit adalah suatu aktivitas penilaian
independen sistematis dalam suatu organisasi untuk menilai operasi-operasi
seluruh departemen sebagai pemberi jasa pada manajemen. Tujuan
keseluruhan audit operasi adalah membantu semua tingkat manajemen agar dapat
melaksanakan tanggung jawab mereka dengan efektif dengan menyajikan pada mereka
analisa-analisa penelitian, rekomendasi-rekomendasi yang objektif dan
komentar-komentar yang tepat mengenai efektifitas ditinjau.
Dapat diketahui bahwa
operasional audit ditekankan pada penelitian yang bebas dan dilakukan dengan
sistematis atas seluruh pelaksanaan kegiatan operasi perusahaan dan untuk
melaksanakan operasi audit perlu adanya gabungan pemeriksaan dengan berbagai
ahli.
Sistem
Kontrol Internal
Sistem
pengendalian internal merupakan suatu perencanaan yang meliputi struktur
organisasi dan semua metode dan alat-alat yang dikoordinasikan yang digunakan
di dalam perusahaan dengan tujuan untuk menjaga keamanan harta milik
perusahaan, memeriksa ketelitian dan kebenaran data akuntansi, mendorong
efisiensi, dan membantu mendorong dipatuhinya kebijakan manajemen yang telah
ditetapkan.
Tujuan adanya Pengendalian
Internal:
1. Menjaga kekayaan
organisasi
2. Memeriksa ketelitian
dan kebenaran data akuntansi3. Mendorong
efisiensi
4. Mendorong
dipatuhinya kebijakan manajemen
b) Control objective, resiko pengendalian
Control Objective
Terdiri
atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang
terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition
& Implementation , Delivery & Support , dan Monitoring
& Evaluation.
Resiko Pengendalian
Resiko pengendalian adalah
risiko terjadinya salah saji material dalam suatu asersi yang tidak dapat dicegah
atau dideteksi sacara tepat waktu oleh pengendalian intern entitas. Risiko ini
ditentukan oleh efektifitas kebijakan dan prosedur pengendalian intern untuk
mencapai tujuan umum pengendalian intern yang relevan dengan audit atas laporan
keuanagan entitas. Risiko pengendalian tertentu akan selalu ada karena
keterbatasan bawaan dalam setiap pengendalian intern.
c) Management
Control Framework dan Application Control Framework
-
Management Control Framework:
mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai
sumber daya organisasi secara keseluruhan.
- Application Control Framework: system
pengendalian intern computer yang berkaitan dengan pekerjaan dan kegiatan
tertentu yang telah ditentukan. Berkaitan dengan proses bisnis individu atau
system aplikasi.
d) Corporate IT
Governance adalah suatu bagian terintegrasi dari kepengurusam perusahaan serta
mencakup kepemimpinan dan struktur serta proses organisasi yang memastikan
bahwa TI perusahaan mempertahankan dan memperluas strategi dan tujuan
organisasi.
o Kegunaan IT
Governance adalah untuk mengatur penggunaan TI dan memastikan performa TI
sesuai dengan tujuan berikut:
o Keselarasan TI
dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari
penerapan TI.
o Penggunaan TI
agar memungkinkan perusahaan mengeksploitasi kesempatan yang ada dan
memaksimalkan keutungan.
o Penggunaan sumber
daya TI yang bertanggung jawab.
o Penanganan
manajemen resiko yang terkait secata tepat.
4. Aspek Management
Control Framework
-
Defining, creating, redefining,
retiring data
-
Membuat database tersedia untuk semua
user
-
Menginformasikan dan melayani user
-
Memelihara integritas data
-
Monitoring operations