Audit Sistem Informasi

Pengendalian Jejak Audit

Pengertian Audit IT
Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi
dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih
dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk
menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan
istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-
pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui
komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh
auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara
manual. Jenis aktivitas ini disebut audit dengan komputer.
Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional
Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan
Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor
ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem
informasi organisasi.
Sejarah singkat Audit IT
Audit IT yang pada awalnya lebih dikenal sebagai EDP Audit (Electronic Data Processing)
telah mengalami perkembangan yang pesat. Perkembangan Audit IT ini didorong oleh
kemajuan teknologi dalam sistem keuangan, meningkatnya kebutuhan akan kontrol IT, dan
pengaruh dari komputer itu sendiri untuk menyelesaikan tugas penting. Pemanfaatan
teknologi komputer ke dalam sistem keuangan telah mengubah cara kerja sistem keuangan,
yaitu dalam penyimpanan data, pengambilan kembali data, dan pengendalian. Sistem
keuangan pertama yang menggunakan teknologi komputer muncul pertama kali tahun 1954.
Selama periode 1954 sampai dengan 1960-an profesi audit masih menggunakan komputer.
Pada pertengahan 1960-an terjadi perubahan pada mesin komputer, dari mainframe menjadi
komputer yang lebih kecil dan murah. Pada tahun 1968, American Institute of Certified
Public Accountants (AICPA) ikut mendukung pengembangan EDP auditing. Sekitar periode
ini pula para auditor bersama-sama mendirikan Electronic Data Processing Auditors
Association (EDPAA). Tujuan lembaga ini adalah untuk membuat suatu tuntunan, prosedur,
dan standar bagi audit EDP. Pada tahun 1977, edisi pertama Control Objectives diluncurkan.
Publikasi ini kemudian dikenal sebagai Control Objectives for Information and Related
Technology (CobiT). Tahun 1994, EDPAA mengubah namanya menjadi Information System
Audit (ISACA). Selama periode akhir 1960-an sampai saat ini teknologi TI telah berubah
dengan cepat dari mikrokomputer dan jaringan ke internet. Pada akhirnya perubahan-
perubahan tersebut ikut pula menentukan perubahan pada audit IT.
Jenis Audit IT
1. Sistem dan aplikasi.
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan
organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan,
kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat
kegiatan sistem.
2. Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk
menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan
normal dan buruk.
3. Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup
kebutuhan obyektif organisasi.
4. Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan
struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna
untuk pemrosesan informasi.
5. Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client,
server, dan jaringan yang menghubungkan client dan server.

Alasan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu
bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa
alasan penting mengapa Audit IT perlu dilakukan, antara lain:
1.Kerugian akibat kehilangan data.
2.Kesalahan dalam pengambilan keputusan.
3.Resiko kebocoran data.
4.Penyalahgunaan komputer.
5.Kerugian akibat kesalahan proses perhitungan.
6.Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.

Manfaat Audit IT
A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan
ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.

B. Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk
penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem,
perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan
atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat
digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan
pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak
lanjutnya.
Metodologi Audit IT.
Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada
umumnya, sebagai berikut :
Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang
akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa
agar pelaksanaannya akan berjalan efektif dan efisien.
Mengidentifikasikan reiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang
berpengalaman dan juga referensi praktik-praktik terbaik.
Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan auditee.
Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
Alasan dilakukannya Audit IT.
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu
bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa
alasan penting mengapa Audit IT perlu dilakukan, antara lain:
Kerugian akibat kehilangan data.
Kesalahan dalam pengambilan keputusan.
Resiko kebocoran data.
Penyalahgunaan komputer.
Kerugian akibat kesalahan proses perhitungan.
Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Resiko kecurangan
auditing yang diterima umum mengharuskan auditor untuk menilai resiko kesalahan
pernyataan material sampai kecurangan. Ketika auditor mempertimbangkan resiko bawaan
dan resiko pengendalian, auditor juga harus mempertimbangkan resiko kecurangan. Auditor
biasanya mempertimbangkan resiko kesalahan pernyataan material dengan membagi dua tipe
kecurangan: kecurangan laporan keuangan dan penyalahgunaan asset. Segitiga kecurangan
yang menggambarkan aspek umum dari seluruh kecurangan, yaitu:
1. Kesempatan untuk melakukan kecurangan.
2. Insentive atau tekanan
3. Kemampuan untuk merasionalisasi kecurangan menjadi konsisten dengan nilai kepantasan
internal.
Pada tahap awal audit, tim audit menyewa dalam sesi brainstorming untuk memastikan setiap
orang dalam tim audit menyadari faktor-faktor potensi resiko yang dapat meningkatkan
resiko kecurangan.
Contoh umum kecurangan laporan keuangan mengakibatkan penadapatan yang lebih besar
dari sebenarnya. Pertama, kecurangan laporan keuangan biasanya mengakibatkan beberapa
level manajemen mengesampingkan pengendalian internal (pengendalian resiko) yang
memperbolehkan kesempatan untuk manajer akuntansi salah menyatakan pendapatan. Kedua,
hal itu biasanya mengakibatkan dorongan dalam bonus atau tekanan yang signifikan dari
menajer senior untuk terget pendapatan (resiko bawaan).
Sama halnya, penyalahgunakan asset menyebabkan faktor kecurangan umum yang sama.
Biasanya penyahgunaan asset berhubungan dengan kesempatan yang diciptakan oleh
pemisahan kemiskinan dari kewajiban dan kemiskinan atau pengendalian internal yang tidak
efektif (resiko pengendalian tinggi).
Mengembangkan strategi audit pendahuluan
Auditor kadang membuat keputusan pendahuluan tentang komponen model resiko audit dan
mengembangkan strategi pendahhuluan untuk mengumpulkan bukti-bukti. Audit sekarang
ini, auditor mengawali audit dengan pengalaman sebelumnya pada suatu entitas. Setelah
memperbaharui pengetahuan perubahan dalam entitas dan lingkungan, dan menjalankan
sedikit prosedur rencana audit awal, auditor mungkin harus memulai untuk mengembangkan
harapan apakah pengendalian internal melanjutkan untuk berfungsi sesuai diharapkan, dan
apakah faktor lain tetap yang mengkun mengindikasikan potensi kesalahan pelaporan.
Auditor kadang mengembangkan strategi audit awal untuk mengaudit asersi.
Memahami pengendalian internal
Auditor diharuskan mendapatkan pemahaman sistem entitas dari pengendalian internal di
setiap audit. Auditor menggunakan pemahaman ini untuk:
1. Mengidentifikasi jenis-jenis potensi kesalahan pelaporan.
2. Mempertimbangan faktor-faktor efek resiko meterialitas kesalahan pelaporan.
3. Mendesain bawaan, pemilihan waktu dan luasnya prosedur audit lanjutan.
Pertama, auditor menggunakan pemahaman pengendalian internal untuk mengidentifikasi
tipe potensi kesalahan pelaporan yang mungkin terjadi. Contohnya, meninjau sistem
pendapatan gereja yang memberikan kontribusi kas yang signifikan. Bawaan penerimaan
entitas menciptakan urusan diatas kelengkapan penerimaan.
Kedua, auditor biasanya paham bagaimana sistem pengendalian internal akan mencegah, atau
mendeteksi dan mengoreksi, potensi kesalahan pelaporan untuk asersi tiap laporan keuangan.
Sistem yang kuat dari pengendalian internal mengurangi potensial kesalahan pelaporan
laporan keuangan.
Terakhir, auditor menggunakan pemanaman sistem pengendalian internal untuk mendesain
prosedur audit lanjutan untuk mengumpulkan bukti. Contohnya, dokumentasi atau jejak audit
elektronik adalah bagian pengendalian internal. Ini penting untuk memahami sitem ini guna
mengidentifikasi bukti yang tepat untuk menguji asersi laporan keuangan.
Hubungan faktor resiko dengan potensi kesalahan pelaporan laporan keuangan
Awalnya, auditor harus menghubungkan faktor resiko yang teridentifikasi selama
menalankan prosedur penaksiran resiko yang berpotensi pada kesalahan pelaporan pada
laporan keuangan. Contohnya, auditor harus memahami apakah kesalahan pelaporan seperti
pada penualan dan penerimaan, atau inventori, atau pada akuntasi untuk harta tetap. Auditor
juga harus memahami apakah faktor, seperti kelemahan sistem pengendalian internal, apakah
masa sekarang akan memberikan efek pada laporan keuangan.
Menentukan Besarnya Potensi Kesalahan
Ketika menaksi resiko bawaan dan pengendalian pada suatu audit klien, auditor harus
menentukan besarnya potensi kesalahan yang dihubungkan pada faktor-faktor resiko.
Contohnya dalam bisnis untuk mengimplementasi sistem pengendalian internal digunakan
pertimbangan biaya dan manfaat dan dalam dunia bisnis beranggapan biaya yang dikeluarkan
untuk pengendalian kesalahan kecil lebih besar dari manfaatnya.
Auditor perlu membedakan antara faktor resiko yang dihubugkan dengan kesalahan yang
berpotensi dapat di agregasi kepada jumlah yang material. Contohnya sama seperti persoalan
pengakuan pendapatan akan mempunyai pengaruh potensi yang besar kepada laporan
keuangan daripada biaya dibayar dimuka. Selanjutnya, penilaian inventori lebih signifikan
perusahaan kertas daripada hotel/bank.
Menentukan Kemungkinan Kesalahan Material
Disamping memeriksa besarnya resiko potensial, auditor juga butuh menentukan
kemungkinan resiko itu akan menghasilkan kesalahan material pada laporan keuangan.
Adalah tugas auditor untuk mengidentifikasi faktor-faktor resiko yang dihubungkan dengan
resiko bawaan yang tinggi dimana kemungkinan kesalahan material dapat dikurangi oleh
system pengendalian internal klien. Dalam membuat penaksiran ini auditor terdiri dari resiko
bawaan dan resiko pengendalian. Contohnya perusahaan konstruksi mungkin memiliki resiko
bawaan yang tinggi sampai kompleksitas estimasi kontrak konstruksi jangka panjang.
Beberapa perusahaan konsturksi ukuran sedang juga memiliki pengendalian internal yang
lemah. Hasilnya auditor membutuhkan untuk mendesain kecukupan dan kemampuan
prosedur audit untuk mrndeteksi kesalahan material.
Menentukan Tingkat Signifikansi Resiko Bawaan
Dalam GAAS auditor harus menentukan mana yang diidentifikasi sebagai resiko dalam
pernyataan auditor, signifikan resiko bawaan yang membutuhkan pertimbangan pemeriksaan
special. Dalam fase audit selanjutnya, tanggapan dalam penaksiran audit, auditor
mengharuskan untuk memberikan perhatian kepada fakta yang beresiko diidentifikasi ebagai
resiko bawaaan yang signifikan.
Dalam megidentifikasi resiko bawaan signifikan auditor mempertimbangkan masalah-
masalah seperti:
Apakah resiko itu adalah resiko kecurangan. Contohnya: resiko bawaan signifikan mugkin
diindikasi jika auditor merasakan 3 elemen triangle fraud terjadi.
Apakah resiko itu berhubungan dengan kejadian ekonomi di masa sekarang, akuntansi atau
perkembangan lain yang membutuhkan perhatian spesial.
Kompleksitas transaksi yang dapat memberikan kenaikan resiko.
Apakah resiko meliputi transaksi signifikan dihubungkan dengan bagian-bagian.
Tingkat subjektifitas dalam pengukuran informasi keuangan dihubungkan dengan resiko.
Apakah resiko meliputi transaksi non rutin yang signifikan transaksi non rutin adalah
transaksi yang tidak biasa, dapat dilihat dari ukuran/besarnya dan kebiasaan dan jarang
terjadi.
Apakah resiko meliputi masalah keputusan.
Resiko bisnis signifikan seringkali adalah resiko bawaan signifikan.
Waktu Pengujian Audit
Auditor kadang memilih memodifikasi waktu pengujian audit dengan memilih tes performa
pengendalian atau substantif tes saat tanggal sementara. Jika pengedalian internal ditemukan
menjadi efektif untuk merespon masalah hanya jika tes relean dengan resiko yang tidak dapat
diterima pada kesimpulan auditor dari sampel yang mungkin berbeda dari konklusi yang
didapat jika seluruh populasi menjadi subjek pada prosedur audit yang sama.
Tanggapan Pada Resiko Bawaan Yang Signifikan
Resiko bawaan yang signifikan timbul dalam kebayakan audit dan berkisar dari beresiko hasil
kesalahan material dari resiko bisnis klien sampai transaksi non rutin atau transaksi komplek
sampai resiko penilaian tinggi dari audit. Pertama, auditor harus mengevaluasi efektifitas dari
desain pengendalian internal dihubungkan kepada seluruh resiko bawaan signifikan. Kedua,
jika banana audit pada pengumpulan bukti dari tes pengendalian sampai mengurangi resiko
bawaan signifikan, auditor harus menguji efektifitas operasi dari pengendalian relevan di
periode audit sekarang. Ketiga, auditor harus melakukan pengujian substantif yang dapat
merespon resiko bawaan signifikan.
Tujuan audit SIA adalah untuk meninjau dan mengevaluasi pengendalian internal yang
melindungi sistem tersebut.
1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi,
dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus
dan umum dari pihak manajemen.
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan
lengkap
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat
diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.