Pengertian
Audit teknologi informasi atau IT (information
technology) audit atau juga dikenal sebagai audit sistem informasi (information
system audit) merupakan aktivitas pengujian terhadap pengendalian dari
kelompok-kelompok unit infrastruktur dari sebuah sistem/teknologi informasi.
Pengujian/evaluasi terhadap kelompok-kelompok unit infrastruktur tersebut dapat
dilakukan atas audit keuangan, audit internal maupun obyek-obyek lain yang
terkait dengan pengembangan/pembangunan sebuah sistem informasi.
Sejarah
Sebelumnya IT audit dikenal sebagai EDP (electronic
data processing) audit atau audit pengolahan data secara elektronik. Saat itu
pengujian lebih menitikberatkan pada pengumpulan dan evaluasi bukti-bukti
pengembangan, penerapan serta operasional sistem informasi. Audit TI
(teknologi informasi) pun dikenal sebagai ADP (automated data processing) audit
dan computer audit.
Jenis - Jenis Audit Teknologi Sistem Informasi
Pendekatan Umum pada Audit Sistem Informasi terbagi
menjadi tiga tahap yaitu
1. Kaji ulang
awal dan evaluasi wilayah yang akan diaudit dan persiapan rencana audit
2. Kaji ulang
dan evaluasi pengendalian yang terperinci
3. Pengujian
kelayakan dan diikuti dengan analisis dan pelaporan hasil
Audit Aplikasi Sistem Informasi
Audit aplikasi biasanya meliputi pengkajian
ulang pengendalian yang ada di setiap wilayah pengendalian aplikasi(input,
pemrosesan, dan output). Teknologi khusus yang digunakan akan tergantung pada
kecerdasan dan sumber daya yang dimiliki auditor.
Audit Pengembangan Sistem Aplikasi
Diarahkan pada aktivitas analisis sistem dan
programmer yang mengembangkan dan memodifikasi program- program aplikasi, file
dan prosedur – prosedur yang terkait.
Audit Pusat Layanan Komputer
Audit terhadap pusat layanan komputer normalnya
dilakukan sebelum audit aplikasi untuk memastikan integritas secara umum atas
lingkungan yang di dalamnya aplikasi akan berfungsi
Jenis-jenis Audit Sistem Informasi
Audit sistem informasi dapat digolongkan dalam tipe
atau jenis-jenis audit sebagai berikut.
a. Audit Laporan Keuangan (Financial Statement
Audit)
Adalah audit yang dilakukan untuk
mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan
(apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas).
Apabila sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi
berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi
apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian
umum sistem memadai dan data telah substantif.
b. Audit Operasional (Operational Audit)
Audit terhadap aplikasi komputer
terbagi menjadi tiga jenis, antara lain:
Post implementation Audit (Audit setelah
implementasi)
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.
Concurrent audit (audit secara bersama)
Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.
Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.
Concurrent Audits (audit secara bersama-sama)
Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan.
Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.
Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan.
Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.
Resiko Audit Sistem Informasi
Ada 3 jenis risiko audit yang wajib diuji dan
dipertimbangkan oleh seorang auditor, saat sebelum menjalankan proses audit,
yaitu : risiko inherent atau inherent risk, risiko pengendalian atau control risk
dan juga risiko deteksi atau detection risk.
1. Risiko Inherent – Atau ‘Inherent Risk’ (IR)
adalah risiko yang mungkin timbul akibat karakter bawaan dari suatu transaksi,
bisa juga karena : kompleksitas transaksi dan klas transaksi, atau kompleksitas
perhitungan, aset yg mudah tercuri/digelapkan, ketiadaan informasi yang
sifatnya obyektif. Sudah menjadi pemahaman publik bahwa inherent risk adalah
diluar jangkauan auditor dalam melakukan pencegahan. Bahkan, juga diluar
kendali pihak auditee sendiri. Jadi dengan kata lain, auditor hanya bisa
menemukan tetapi tidak bisa melakukan apa-apa.
2. Risiko Pengendalian – Atau ‘Control Risk’ (CR)
adalah risiko yang bisa timbul akibat kelemahan sistim pengendalian intern
(SPI) auditee, tak tahu karena desainnya yang lemah atau pelaksanaanya yang
tidak sesuai desain—thus tidak mampu mencegah potensi salahsaji bersifat
material dan/atau penggelapan (fraud). Jadi CR tidak bisa dikendalikan oleh
auditor akan tetapi bisa dikendalikan oleh auditee jika mereka mau.
3. Risiko Deteksi – Atau ‘Detection Risk’ (DR),
adalah risiko yang bisa timbul akibat kegagalan auditor dalam menedeteksi
adanya salahsaji bersifat material dan/atau penggelapan (fraud). Jadi DR ada
dalam kendali auditor. Itu karena DR sepenuhnya ada pada kendali auditor, maka
sudah pasti mereka harus berupaya untuk menekan risiko ini hingga ke
tingkatakan yang paling minimal (tidak mungkin menghilangkan risiko ini
sepenuhnya).
Tidak ada komentar:
Posting Komentar