1. Tabel perbandingan standar Audit SI
2. a) Audit Sistem Informasi adalah proses pengumpulan dan penilaian bukti-bukti untuk menentukan apakah system computer dapat mengamankan asset, memelihara integritas data, mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumber daya dengan efisien (Ron Weber).
Jenis audit umumnya terbagi menjadi 2, yaitu:
3. a) Kontrol Internal, ruang lingkup control internal, dan system control internal
Kontrol internal audit adalah upaya memastikan rencana organisasi serta prosedur-prosedur dan catatan-catatan yang berhubungan dengan pengamanan harta kekayaan perusahaan telah dilakukan dengan benar.
Ruang
Lingkup Kontrol Internal
- Pemeriksaan Keuangan
Pemeriksaan keuangan adalah pemeriksaan yang ditujukan untuk membuktikan keakuratan data keuangan dan operasi, keefektifan pengawasan intern yang meliputi verifikasi atas keberadaan harta benda perusahaan dan menyakinkan bahwa pengamanannya cukup memadai dan pencatatannya dilakukan dengan tepat.
Untuk lebih jelasnya lagi diberikan batasan financial audit sebagai berikut:
Financial audit atau pemeriksaan keuangan adalah verifikasi eksistensi kekayaan dan menyakinkan bahwa pengamanannya cukup dan apakah sistem akuntansi dan sistem pelaporan dapat dipercaya termasuk pembahasan internal control.
Dari pengertian di atas maka internal auditor harus mengadakan
konfirmasi hutang dan piutang, mentest efektif atau tidaknya sistem akuntansi
yang ada dan prosedur yang berhubungan dnegan sistem internal control.
Dapat diketahui bahwa
operasional audit ditekankan pada penelitian yang bebas dan dilakukan dengan
sistematis atas seluruh pelaksanaan kegiatan operasi perusahaan dan untuk
melaksanakan operasi audit perlu adanya gabungan pemeriksaan dengan berbagai
ahli.
Sistem
pengendalian internal merupakan suatu perencanaan yang meliputi struktur
organisasi dan semua metode dan alat-alat yang dikoordinasikan yang digunakan
di dalam perusahaan dengan tujuan untuk menjaga keamanan harta milik
perusahaan, memeriksa ketelitian dan kebenaran data akuntansi, mendorong
efisiensi, dan membantu mendorong dipatuhinya kebijakan manajemen yang telah
ditetapkan.
Resiko pengendalian adalah
risiko terjadinya salah saji material dalam suatu asersi yang tidak dapat dicegah
atau dideteksi sacara tepat waktu oleh pengendalian intern entitas. Risiko ini
ditentukan oleh efektifitas kebijakan dan prosedur pengendalian intern untuk
mencapai tujuan umum pengendalian intern yang relevan dengan audit atas laporan
keuanagan entitas. Risiko pengendalian tertentu akan selalu ada karena
keterbatasan bawaan dalam setiap pengendalian intern.
2. a) Audit Sistem Informasi adalah proses pengumpulan dan penilaian bukti-bukti untuk menentukan apakah system computer dapat mengamankan asset, memelihara integritas data, mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumber daya dengan efisien (Ron Weber).
Jenis audit umumnya terbagi menjadi 2, yaitu:
- Audit Internal: suatu penilaian yang dilakukan secara independen, obyektif, dan aktivitas konsultasi yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi.
- Audit Eksternal: suatu pemeriksaan berkala terhadap pembukuan dan catatan dari suatu entitas yang dilakukan oleh pihak ketiga secara independen untuk memastikan bahwa catatan tersebut telah diperiksa dengan baik, akurat sesuai konsep, prinsip standar akuntansi, persyaratan hukum dan memberikan pandangan yang benar dan wajar kondisi keuangan sebuah organisasi.
Pendekatan Audit Sistem Informasi
- Pendekatan Paparan (Exposures Approach) Fokus utama ditekankan pada jenis kesalahan yang terjadi dalam suatu system informasi.
- Pendekatan Kendali (Control Approach) Fokus utamanya adalah kendali-kendali didalam suatu system informasi yang dapat digunakan untuk mengurangi kesalahan sampai pada level yang dapat diterima.
Tahapan Audit SI menurut Ron Weber terbagi menjadi 5, yaitu:
- Pendekatan Paparan (Exposures Approach) Fokus utama ditekankan pada jenis kesalahan yang terjadi dalam suatu system informasi.
- Pendekatan Kendali (Control Approach) Fokus utamanya adalah kendali-kendali didalam suatu system informasi yang dapat digunakan untuk mengurangi kesalahan sampai pada level yang dapat diterima.
Tahapan Audit SI menurut Ron Weber terbagi menjadi 5, yaitu:
- Perencanaan Audit
- Pengetesan Kendali
- Pengetesan Transaksi
- Pengetesan Keseimbangan atau Keseluruhan Hasil
- Penyelesaian Audit
Ketika
melaksanakan audit SI, seluruh auditor harus memastikan tujuan-tujuan berikut
dipenuhi:
a) Perlengkapan keamanan melindungi
perlengkapan computer, program, komunikasi, dan data dari akses yang tidak sah,
modifikasi, atau penghancuran.
b) Pengembangan dan perolehan program
dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
c) Modifikasi program dilaksanakan
dengan otorisasi dan persetujuan pihak manajemen.
d) Pemrosesan transaksi, file, laporan
telah akurat dan lengkap.
e) Data sumber yang tidak memiliki
otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan
manajerial yang telah ditetapkan.
f) File data computer telah akurat, lengkap, dan
dijaga kerahasiaannya.
Kontrol pada Sistem Informasi
- Kontrol Pencegahan adalah suatu langkah pencegahan yang diambil sebelum keadaan darurat, kehilangan, atau masalah terjadi.
- Kontrol Detektif adalah sesuatu yang dirancang untuk menemukan kesalahan atau penyimpangan setelah terjadi.
- Kontrol Koreksi adalah program yang dibuat khusus untuk memperbaik kesalahan pada data yang mungkin timbul akibat adanya gangguan.
Secara
umum, fungsi dari control adalah untuk menekan kerugian yang mungkin timbul
akibat kejadian yang tidak diharapkan yang terjadi pada sebuah system.
4 tujuan audit system informasi, yaitu:
- Mengamankan asset
- Menjaga integritas data
- Menjaga efektivitas system
- Mencapai efisiensi sumber daya
b) Prinsip-prinsip
Dasar Audit SI
- Kode Etik: berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan
- Presentasi yang wajar: kewajiban melaporkan secara jujur dan akurat
- Independen
- Perawatan professional: implementasi dari kesungguhan dan pertimbangan yang diberikan
- Pendekatan berdasarkan bukti/fakta
c) Standar
dan Panduan Audit SI
Standar Audit SI tidak lepas dari standar
professional seorang auditor SI. Standar professional adalah ukuran mutu
pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi
dalam menjalankan tanggungjawab profesinya. Standar profesional adalah batasan
kemampuan (knowledge, technical skill and professional attitude) minimal yang
harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan
profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh
organisasi profesi yang bersangkutan. Beberapa standar audit SI yang biasa
digunakan adalah sebagai berikut:
- ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals
- IIA : International Professional Practices Framework / IPPF
- IASII : Standar Audit Sistem Informasi
- BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
- BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi
3. a) Kontrol Internal, ruang lingkup control internal, dan system control internal
Kontrol internal audit adalah upaya memastikan rencana organisasi serta prosedur-prosedur dan catatan-catatan yang berhubungan dengan pengamanan harta kekayaan perusahaan telah dilakukan dengan benar.
- Pemeriksaan Keuangan
Pemeriksaan keuangan adalah pemeriksaan yang ditujukan untuk membuktikan keakuratan data keuangan dan operasi, keefektifan pengawasan intern yang meliputi verifikasi atas keberadaan harta benda perusahaan dan menyakinkan bahwa pengamanannya cukup memadai dan pencatatannya dilakukan dengan tepat.
Untuk lebih jelasnya lagi diberikan batasan financial audit sebagai berikut:
Financial audit atau pemeriksaan keuangan adalah verifikasi eksistensi kekayaan dan menyakinkan bahwa pengamanannya cukup dan apakah sistem akuntansi dan sistem pelaporan dapat dipercaya termasuk pembahasan internal control.
-
Pemeriksaan Manajemen
Pemeriksaan operasional
dilaksanakan pada berbagai tingaktan manajemen (level of management), objek
yang dinilai adalah aktivitas operasi, kebijaksanaan dan daya guna usaha.
Federal Financial
Institute in Canada, memberikan definisi Operasional Audit sebagai berikut:
Operational audit adalah suatu aktivitas penilaian
independen sistematis dalam suatu organisasi untuk menilai operasi-operasi
seluruh departemen sebagai pemberi jasa pada manajemen. Tujuan
keseluruhan audit operasi adalah membantu semua tingkat manajemen agar dapat
melaksanakan tanggung jawab mereka dengan efektif dengan menyajikan pada mereka
analisa-analisa penelitian, rekomendasi-rekomendasi yang objektif dan
komentar-komentar yang tepat mengenai efektifitas ditinjau.
Sistem
Kontrol Internal
Tujuan adanya Pengendalian
Internal:
1. Menjaga kekayaan
organisasi
2. Memeriksa ketelitian
dan kebenaran data akuntansi3. Mendorong
efisiensi
4. Mendorong
dipatuhinya kebijakan manajemen
b) Control objective, resiko pengendalian
Control Objective
Terdiri
atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang
terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition
& Implementation , Delivery & Support , dan Monitoring
& Evaluation.
Resiko Pengendalian
c) Management
Control Framework dan Application Control Framework
-
Management Control Framework:
mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai
sumber daya organisasi secara keseluruhan.
- Application Control Framework: system
pengendalian intern computer yang berkaitan dengan pekerjaan dan kegiatan
tertentu yang telah ditentukan. Berkaitan dengan proses bisnis individu atau
system aplikasi.
d) Corporate IT
Governance adalah suatu bagian terintegrasi dari kepengurusam perusahaan serta
mencakup kepemimpinan dan struktur serta proses organisasi yang memastikan
bahwa TI perusahaan mempertahankan dan memperluas strategi dan tujuan
organisasi.
o Kegunaan IT
Governance adalah untuk mengatur penggunaan TI dan memastikan performa TI
sesuai dengan tujuan berikut:
o Keselarasan TI
dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari
penerapan TI.
o Penggunaan TI
agar memungkinkan perusahaan mengeksploitasi kesempatan yang ada dan
memaksimalkan keutungan.
o Penggunaan sumber
daya TI yang bertanggung jawab.
o Penanganan
manajemen resiko yang terkait secata tepat.
4. Aspek Management
Control Framework
-
Defining, creating, redefining,
retiring data
-
Membuat database tersedia untuk semua
user
-
Menginformasikan dan melayani user
-
Memelihara integritas data
-
Monitoring operations
