Jumat, 17 November 2017
Audit
system informasi
pengertian
Audit sistem informasi adalah proses pengumpulan dan
penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat
mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan
organisasi secara efektif dan menggunakan sumberdaya secara efisien”. Ron Weber
(1999,10) mengemukakan bahwa audit sistem informasi adalah :
” Information systems auditing is the process of
collecting and evaluating evidence to determine whether a computer system
safeguards assets, maintains data integrity, allows organizational goals to be
achieved effectively, and uses resources efficiently”.
Tujuan
Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke
dalam dua aspek utama dari ketatakelolaan IT, yaitu :
a. Conformance (Kesesuaian) – Pada kelompok tujuan ini
audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek
kesesuaian, yaitu :Confidentiality (Kerahasiaan), Integrity (Integritas),
Availability (Ketersediaan) danCompliance (Kepatuhan).
b. Performance (Kinerja) – Pada kelompok tujuan ini audit
sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja,
yaitu :Effectiveness(Efektifitas), Efficiency (Efisiensi), Reliability
(Kehandalan).
Tujuan audit sistem informasi menurut Ron Weber tujuan
audit yaitu :
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas sistem
4. Mencapai efisiensi sumberdaya.
Keempat tujuan tersebut dapat dijelaskan sebagai
berikut :
1.
Mengamankan aset, aset (activa) yang berhubungan dengan instalasi sistem
informasi mencakup: perangkat keras (hardware), perangkat lunak (software),
manusia (people), file data, dokumentasi sistem, dan peralatan pendukung
lainnya.
Sama halnya dengan aktiva – aktiva yang lain, maka
aktiva ini juga perlu dilindungi dengan memasang pengendalian internal.
Perangkat keras dapat rusak karena unsur kejahatan atau sebab-sebab lain.
Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat
digunakan untuk tujuan yang tidak diotorisasi.
2.
Menjaga integritas data, integritas data merupakan konsep dasar audit
sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan,
baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data,
organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian
yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun
langkah-langkah penting di organisasi salah sasaran karena tidak didukung
dengan data yang benar. Meskipun demikian, perlu juga disadari bahwa menjaga
integritas data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya
untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur
pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3.
Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya
jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas
sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user).
Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi
yang bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu
mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya
audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan
sejauh mana sistem telah mencapai tujuan yang telah ditetapkan. Evaluasi ini
akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak
dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah
usang, sehingga harus ditinggalkan dan dicari penggantinya Audit efektivitas
sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design).
Hal ini dapat terjadi jika desainer sistem mengalami kesulitan untuk mengetahui
kebutuhan user, karena user sulit mengungkapkan atau mendeskripsikan
kebutuhannya. Jika sistem bersifat komplek dan besar biaya penerapannya,
manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu oleh
pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai
dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu
mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan
dan kepentingan manajemen.
4. Mencapai efisiensi sumberdaya, suatu
sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia
menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang
dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya,
seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi
dan tenaga kerja yang mengoperasikan sistem tersebut. Sumberdaya seperti ini
biasanya sangat terbatas adanya. Oleh karena itu, beberapa kandidat sistem
(system alternatif) harus berkompetisi untuk memberdayakan sumberdaya yang ada
tersebut.
PENGENDALIAN
UMUM
Pengendalian umum pada perusahaan dilakukan terhadap
aspek fisikal maupun logikal. Aspek fisikal dilakukan terhadap aset-aset fisik
perusahaan, sedangkan aspek logikal terhadap sistem informasi di level
manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan
menjadi beberapa, diantaranya:
a)
Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan pengendalian organisasi adalah
secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem
(operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa
pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh
administrator.
b)
Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan
baik selayaknya sesuai yang diharapkan.
c)
Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem
informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi
tersebut, catatan perubahan versi, serta manajemen perubahan atas
diimplementasikannya sebuah sistem informasi.
d)
Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses
secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan,
sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem
operasi sistem tersebut (misal: windows).
PENGENDALIAN
APLIKASI
Pengendalian aplikasi adalah prosedur-prosedur
pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko
terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat
berjalan dengan baik.
Macam Aplikasi
Aplikasi berwujud perangkat lunak, yang dapat dibagi
menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:
• Perangkat
lunak berdiri sendiri
Terdapat pada organisasi yang belum menerapkan SIA dan
sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada
masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi
dan keuangan.
• Perangkat
lunak di server
Tedapat pada organisasi yang telah menerapkan SIA dan
sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya
memakai sistem client-server . Client hanya dipakai sebagai antar-muka
(interface) untuk mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
a.
Pengendalian Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama dengan
pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, terpusat hanya pada pengendalian
logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga
terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana
hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh
administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur
perusahaan berkaitan dengan nama pengguna dan sandi nya.
b.
Pengendalian Input
Pengendalian input memastikan data-data yang
dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c.
Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua
tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas
transaksi baik yang sementara maupun yang permanen dan (2) tahapan database,
proses yang dilakukan pada berkas-berkas master.
d.
Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan
baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan
juga kasat mata.
e.
Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial
pada data, sehingga tidak akan diketemukan anomali-anomali, seperti:
• Anomaly
penambahan
• Anomaly
penghapusan
• Anomaly
pemuktahiran/pembaruan
Fungsi
internal auditor
Pada mulanya internal auditor dalam suatu perusahaan
mempunyai fungsi yang terbatas, yaitu mengadakan pengawasan atas pembukuan,
namun sejalan dengan meningkatnya sistem informasi akuntansi, aktivitas
internal auditor tidak lagi berputar pada pengawasan pembukuan semata-mata.
Akan tetapi mencakup pemeriksaan dan evaluasi terhadap
kecukupan dan efektivitas sistem organisasi, sistem internal control dan
kualitas kertas kerja manajemen dalam melaksanakan tanggung jawab yang
dibebankan kepadanya.
Fungsi internal auditor yang dikemukakan oleh Holmes
dan Overmayer yang menggolongkan secara terperinci:
1.
Menentukan baik tidaknya internal control dengan memperhatikan
pemeriksaan fungsi dan apakah prinsip akuntansi benar-benar telah dilaksanakan.
2.
Bertanggung jawab dalam menentukan apakah pelaksanaan sesuai dengan
rencana policy dan prosedur yang telah ditetapkan sampai nilai apakah hal
tersebut telah diperbaiki atau tidak,
3.
Menverifikasi adanya keuntungan kekayaan atau asset termasuk mencegah
dan menentukan penyelesaian.
4.
Menverifikasikan dan menilai tingkat kepercayaan terhadap sistem
akuntansi dan pelaporan.
5.
Melaporkan secara objektif apa yang diketahui kepada manajemen disertai
rekomendasi perbaikan.
Sumber:
http://blog.pasca.gunadarma.ac.id/2012/07/17/audit-sia-pengendalian-umum-dan-pengendalian-aplikasi/
http://referensiakuntansi.blogspot.co.id/2012/11/fungsi-internal-auditor.html
