AUDIT SISTEM INFORMASI

Istilah EDP-Audit (electronic data processing audit), atau computer audit, kini lebih sering disebut dengan audit sistem informasi (information systems audit). Pada awalnya EDP audit dilakukan hanya dalam rangka audit laporan keuangan. Dalam perkembangannya kemudian, karena pentingnya dan makin besarnya investasi dalam TI. Organisasi perusahaan makin merasakan perlunya audit operasional terhadap fungsi TI-nya. Maka secara umum audit sistem informasi dimaksudkan untuk mengavaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis (bisnis processes) perusahaan (atau kebutuhan pengguna, user needs), untuk mengetahui apakah suatu sistem informasi telah didesain dan diimpilmentasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai.

Audit SI berbasis teknologi informasi dapat digolongkan dalam tipe atau jenis-jenis pemeriksaan :

1. Audit laporan keuangan (general audit on financial). Dalam hal ini audit terhadap aspek-aspek teknologi informasi pada suatu sistem informasi. akuntansi berbasis teknologi informasi adalah dilaksanakan dalam rangka audit keuangan.
2. Audit sistem informasi (SI) sebagai kegiatan tersendiri, terpisah dari pada keuangan. Sebetulnya audit SI pada hakekatnya salah satu dari bentuk audit operasional, tetapi kini lebih dikenal sebagai satu satuan jenis audit tersendiri yang tujuan utamanya lebih untuk meningkatkan IT governance.

Metode Audit

Proses audit system informasi dengan system manual pada dasarnya adalah sama. Yang membedakannya hanya auditing manual tidak menggunakan computer sedangkan auditing system informasi didalam pemrosesan transaksi menggunakan computer. Ada tiga metode utama terhadap auditing berdasarkan computer, yaitu :

A. Audit Around the Computer (Audit di sekitar Komputer).

Audit Around the Computer merupakan suatu pendekatan audit dimana auditor memperlakukan computer sebagai black box, artinya pemrosesan aplikasi tidak diuji secara langsung. Metode ini hanya berfokus pada input dan output dari system aplikasi. Metode ini mengansumsikan jika input benar dan outpun benar, maka prosesnya dianggap benar.

Sedangkan menurut Weber Audit Around the Computer merupakan audit terhadap suatu penyelenggaraan system informasi yang berbasis computer tanpa menggunakan kemampuan peralatan itu sendiri.

Biasanya Audit Around the Computer dilakukan oleh auditor yang memiliki pengetahuan yang minim tentang computer. Metode Audit Around the Computer ini cocok untuk dilaksanakan pada kondisi sebagai berikut :

• Dokumen sumber tersedia dalam bentuk kertas (bahasa non mesin), artinya mash kasat mata dan dapat dilihat secara visual.
• Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
• Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
• System computer yang diterapkan masih sederhana.
• System computer yang diterapkan masih menggunakan software yang umum digunakan, telah diakui dan digunakan secara massal.

Dalam pendekatan audit disekitar komputer, auditor dapat melangkah kepada perumusan pendapat dengan hanya menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara yang sama seperti dalam sistem manual bukan sistem informasi berbasis komputer. Auditor tidak melakukan upaya untuk menguji pengendalian sistem informasi berbasis komputer klien, tetapi terhadap input serta output sistem aplikasi. Dari penilaian terhadap kualitas input dan output sistem aplikasi ini , auditor dapat mengambil kesimpulan tentang kualitas pemrosesan data yang dilakukan klien. Oleh karena itu auditor harus dapat mengakses ke dokumen sumber yang cukup dan daftar keluaran (output) yang terinci dalam bentuk yang dapat dibaca. Kuncinya adalah penelusuran transaksi terpilih mulai dari dokumen sumber sampai ke perkiraan dan laporan keuangan. Untuk menerapkan metode ini, pertama auditor meninjau dan menguji pengendalian masukan (input control), kemudian menghitung hasil yang diharapkan dari pemrosesan transaksi yang terpilih lalu auditor membandingkan hasil sesungguhnya seperti yang tampak dalam laporan ikhtisar saldo perkiraan, dengan hasil yang dihitung secara manual.

Kelebihan dan kelemahan Audit Around the Computer adalah sebagai berikut :

Kelebihan :

1.     Pelaksanaan audit lebih sederhana.

2.     Auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.

Kelemahan :

Kelemahannya adalah jika kondisi (user requirements) berubah, mungkin sistem itupun perlu diredesain dan perlu penyesuaian (update) program-program, bahkan mungkin struktur data/file, sehingga auditor perlu menilai/menelaah ulang apakah sistem masih berjalan dengan baik.

B. Audit Through The Computer. 

Metode Audit Through The Computer merupakan suatu pendekatan yang berorientasi pada computer dengan membuka black box dan secara langsung berfokus pada operasi pemprosesan dalam system computer. Metode ini berasumsi bahwa apabila system pemrosesan mempunyai pengendalian yang memadai maka kesalahan dan penyalagunaan tidak akan terlewat untuk dideteksi. Sebagai akibatnya keluaran dapat diterima.

Sedangkan menurut Weber, pada umumnya para auditor sekarang terlibat dalam Audit Through The Computer. Auditor menggunakan komputer untuk menguji logic dan pengendalian yang ada dalam komputer dan catatan yang dihasilkan oleh komputer. Besar kecilnya penggunaan (peranan) komputer dalam audit tergantung pada kompleksitas dari sistem komputer perusahaan yang diaudit. Penggunaannya dapat sederhana atau lebih rumit. Selain itu auditor juga dapat meminta penjelasan dari para teknisi computer mengenai spesifikasi system dan atau program yang diperiksanya. Dalam pendekatan ini fokus perhatian auditor langsung pada operasi pemrosesan di dalam sistem komputer.

Tujuan dari Audit Through The Computer adalah untuk meneliti apakah aplikasi yang dioperasikan sesuai dengan kondisi yang sesungguhnya. Selain itu Audit Through The Computer dapat juga dilakukan untuk meneliti kelengkapan dan kebenaran akurasi dan validasi database atau penelitian software datanya.

Metode Audit Through The Computer harus digunakan apabila metode Audit Around The Computer tidak cocok atau tidak mencukupi. Jadi metode Audit Through The Computer ini harus diterapkan bila pemrosesan computer rumit dan melibatkan banyak file. Metode Audit Through The Computer ini dapat diterapkan bersama dengan metode Audit Around The Computer untuk memberikan kepastian yang lebih besar.

Metode Audit Through The Computer cocok dalam kondisi :

1. Sistem aplikasi memroses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
2. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputer yang digunakan.
3. Sistem logika komputer sangat kompleks dan memiliki banyak fasilitas pendukung
4. Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga memerlukan pertimbangan antara biaya dan manfaatnya. 

Kelebihan dan kelemahan Audit Through The Computer adalah sebagai berikut:

Kelebihan :

1. Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
2. Dapat memeriksa secara langsung logika pemrosesan dari system aplikasi.
3. Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.

Kelebihan dan kelemahan Audit Through The Computer adalah sebagai berikut:

Kelebihan :

1. Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
2. Dapat memeriksa secara langsung logika pemrosesan dari system aplikasi.
3. Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan datang.
4. Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.
5. Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.

Kekurangan :

1. Biaya yang dibutuhkan relative tinggi karena jumlah jam kerja yang banyak untuk dapat lebih memahami struktur pengendalian intern dari pelaksanaan system aplikasi.
2. Butuh keahlian teknis yang lebih mendalam untuk memahami cara kerja system.

C. Audit With The Computer.

Audit dengan komputer untuk kegiatan pendukung dan administrasi paling sering digunakan, bahkan meskipun sistem klien yang diaudit telah berbasis komputer. Selain untuk kegiatan administratif, penyusunan program audit dan kuesioner serta pencatatan-pencatatan dan pelaporan hasil audit, komputer biasanya juga digunakan oleh auditor atau pegawai perusahaan klien untuk melakukan analisis atau pengikgtisaran, pembuatan grafik dan tabel-tabel tentang hasil audit, sertapemaparan atau presentasi hasil audit (misalnya dengan Microsoft Word, PowerPoint, dan Excel).

Perangkat lunak audit dapat digolongkan sebagai berikut :

1. Perangkat lunak audit terspesialisasi (SAS), yaitu satu atau lebih program khusus yang dirancang oleh auditor agar sesuai dengan situasi audit. Perangkat lunak audit terspesialisasi ini jarang digunakan karena penyiapannya memakan waktu, mahal dan diperlukan keahlian computer yang sangat besar pada pihak auditor.
2. Perangkat lunak audit tergeneralisasi (GAS), yaitu seperangkat program yang dapat diterapkan pada berbagai perusahaandan situasi audit. Generalized Audit Software (GAS) biasanya dikembangkan oleh perusahaan perangkat lunak atau pabrikan computer. Kelebihan pada perangkat lunak audit tergeneralisasi ini adalah auditor pemakai tidak perlu memiliki pengetahuan dalam pemprograman karena paket GAS biasanya dirancang agar mudah digunakan dan disesuaikan  dengan bahasa dan kebutuhan auditor. Sedangkan kelemahan pada perangkat lunak audit tergeneralisasi ini adalah upaya dan biaya pengembangannya tentu relative besar dan mungkin memerlukan keahlian yang memadai karena antara lain software tersebut harus dirancang untuk digunakan secara luwes untuk berbagai perusahaan dan berbagai tipe testing. Selain itu juga karena software ini bersifat tergeneralisasi maka tentu tidak dapat memenuhi kebutuhan spesifik tiap auditor secara individu karena bagaimanapun produk tersebut bersifat paket.

Dalam metode Audit With Computer terdapat beberapa cara yang dapat digunakan untuk auditor dalam melaksanakan prosedur audit, antara lain :

1. Memproses atau melakukan pengujian dengan system computer klien itu sendiri sebagai bagian dari pengujian pengendalian atau subtantif.
2. Menggunakan computer untuk melaksanakan tugas audit yang terpisah dari catatan klien yaitu mengambil copy data, file atau program milik klien untuk diuji dengan computer lain(di kantor auditor).
3. Menggunakan computer sebagai alat bantu dalam audit sebagai software bantu audit dan sebagai alat pendukung kegiatan audit.

Tahap-tahap Audit Sistem Informasi Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :

1. Tahap pemeriksaan pendahuluan 

2. Tahap pemeriksaan rinci

3. Tahap pengujian kesesuaian

4. Tahap pengujian kebenaran bukti

5. Tahap penilaian secara umum atas hasil pengujian

Tahap Pemeriksaan Pendahuluan

Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit.  

 Tahap Pemeriksaan Rinci

Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.

 Tahap Pengujian Kesesuaian

Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri.

 Tahap Pengujian Kebenaran Bukti

Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) : Mengidentifikasi kesalahan dalam pemrosesan data  Menilai kualitas data  Mengidentifikasi ketidakkonsistenan data  Membandingkan data dengan perhitungan fisik  Konfirmasi data dengan sumber-sumber dari luar perusahaan.

Tahap Penilaian Secara Umum atas Hasil Pengujian

Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan. Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup : 

(1) pengendalian umum, 

(2) pengendalian aplikasi, yang terdiri dari : 

(a) pengendalian secara manual.

(b) pengendalian terhadap output sistem informasi.

(c) pengendalian yang sudah diprogram.

Tujuan Audit SI

Pengamanan aset

Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, dan data harus dijaga dengan sistem pengendalian intern yang baik agar tidak ada penyalahgunaan aset perusahaan.

Efektifitas sistem

Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengmbilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut sudah dirancang dengan benar (doing the right thing), telah sesuai dengan kebutuhan user. Informasi yang dibutuhkan oleh para manajer dapat dipenuhi dengan baik.

Efisiensi sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitasnya terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memnuhi kebutuhan user dengan sumber daya informasi yang minimal. Cara kerja sistem benar (doing thing right).

Ketersediaan (Availability)

Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi (TI). TI hendaknya dapat mendukung secara kontinyu terhadap proses bisnis kegiatan perusahaan. Makin sering terjadi gangguan (system down) maka berarti tingkat ketersediaan sistem rendah.

Kerahasiaaan (Confidentiality)

Fokusnya ialah pada proteksi terhadap informasi dan supaya terlindungi dari akses dari pihak yang idak berwenang.

Kehandalan (Realibility)

Berhubungan dengan kesesuaian dan kekuratan bagi manajemen dalam pengolahan organisasi, pelaporan dan pertanggungjawaban.

Menjaga integritas data

Integritas data (data integrity) adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut seperti kelengkapan kebenaran dan keakuratan.