AUDIT TEKNOLOGI SISTEM INFORMASI (TSI)
PADA LINGKUNGAN WORKGROUP/ENTERPRISE
Audit teknologi
informasi (Inggris: information technology (IT) audit atau
information systems (IS) audit) adalah bentuk pengawasan dan pengendalian
dariinfrastruktur teknologi informasi secara menyeluruh.
Audit teknologi
informasi ini dapat berjalan bersama-sama dengan audit finansial danaudit internal, atau dengan kegiatan pengawasan dan evaluasi
lain yang sejenis.
Pada mulanya istilah ini
dikenal dengan audit pemrosesan
data elektronik,
dan sekarang audit teknologi informasi secara umum merupakan
proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari
audit teknologi informasi adalah audit komputer yang banyak
dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah
bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
Tujuan audit sistem informasi secara teknis
yaitu:
- Evaluasi atas kesesuaian antara rencana strategis dengan rencana tahunan organisasi,rencana tahunan dan rencana proyek.
- Evaluasi atas kelayakan struktur organisasi yaitu termasuk pemisahan fungsi dan kelayakan pelimpahan wewennang dan otoritas.
- Evaluasi atas pengelolahan personil yaitu termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi,mutasi, serta terminasi personil.
- Evaluasi atas pengembangan yaitu termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi, migrasi, pelatihan dan dokumentasi, serta manajemen perubahan.
- Evaluasi atas kegiatan operasional yaitu termasuk pengelolaan keamanan dan kenerja pengelolaan pusat data, pengelolaan keamanan dan kenerja jaringan data, pengelolaan masalah dan insiden serta dukungan pengguna.
- Evaluasi atas kontinuitas layanan yaitu termasuk pengelolaan backup dan recovery, pengelolaan prosedure darurat, pengelolaan rencana pemulihan layanan, serta pengujian rencana kontijensi operasional.
- Evaluasi atas kualitas pengendalian aplikasi yaitu termasuk pengendalian input, pengendalian proses dan pengendalian output.
- Evaluasi atas kualitas data/informasi yaitu termasuk pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.
KONSEP AUDIT TSI
Perencanaan (Planning)
Tahap perencanaan ini yang akan dilakukan
adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard
evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang
bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang
diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan
investigasi.
Perencanaan meliputi beberapa aktivitas utama, yaitu:
Perencanaan meliputi beberapa aktivitas utama, yaitu:
· Penetapan ruang lingkup dan tujuan audit
· Pengorganisasian tim audit
· Pemahaman mengenai operasi bisnis klien
· Kaji ulang hasil audit sebelumnya
· Penyiapan program audit
Pemeriksaan Lapangan (Field Work)
Tahap ini yang akan
dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan
data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan
berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan
survey ke lokasi penelitian.
Pelaporan (Reporting)
Setelah proses
pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung
berdasarkan perhitungan maturity level. Pada tahap ini yang akan
dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan
maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi
hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan
kinerja saat ini (current maturity level) dan kinerja standard atau
ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis
kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan
(gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.
Tindak Lanjut (Follow Up)
Tahap ini yang dilakukan
adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan
kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang
perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan
diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.
PROSES AUDIT TSI
PROSES AUDIT TSI
Proses Audit dalam konteks teknologi informasi
adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah
proses audit sistem informasi yaitu:
- Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
- Tetapkan langkah-langkah audit yang rinci
- Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
- Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
- Telaah apakah tujuan audit tercapai
- Sampaikan laporan kepada pihak yang berkepentingan
- Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.
- Audit subject
- Audit objective
- Audit Scope
- Preaudit planning
- Audit procedures and Steps for data gathering
- Evaluasi hasil pengujian dan pemeriksaan
- Audit report preparation
Berikut struktur isi laporan audit secara
umumnya (tidak baku):
- Pendahuluan
- Kesimpulan umum auditor
- Hasil audit
- Rekomendasi
- Exit interview
Pada dasamya, struktur audit
adalah sama, hal yg membedakan adalah spesific taskspada tiap tahap
audit yg menggambarkan kebutuhan dari masing-masing audit.
Scr umum, struktur audit terdiri atas:
1. Tahap-tahap audit
2. Elemen masing-masing tahap audit
3. Tujuan umum masing-masing elemen &
4. Tugas-tugas ttt yg diperlukan utk mencapai setiap tujuan
Audit kinerja merupakan perluasan dari audit keuangan dlm hal tujuan & prosedumya. Berdasarkan kerangka umum struktur audit di atas, dapat dikembangkan struktur audit kinerja yg terdiri atas:
1. familiarization and planning phase
2. audit phase
3. reporting phase
4. follow-up phase
Scr umum, struktur audit terdiri atas:
1. Tahap-tahap audit
2. Elemen masing-masing tahap audit
3. Tujuan umum masing-masing elemen &
4. Tugas-tugas ttt yg diperlukan utk mencapai setiap tujuan
Audit kinerja merupakan perluasan dari audit keuangan dlm hal tujuan & prosedumya. Berdasarkan kerangka umum struktur audit di atas, dapat dikembangkan struktur audit kinerja yg terdiri atas:
1. familiarization and planning phase
2. audit phase
3. reporting phase
4. follow-up phase
TAHAP PENGENALAN &
PERENCANAAN
Tahap pengenalan &
perencanaan terdiri dr dua elemen:
- survei pendahuluan, bertujuan utk menghasilkan research plan yg detail yg dpt membantu auditor dlm mengukur kinerja
- review SPM, bertujuan utk mengembangkan temuan berdsrkan perbandingan antara kinerja & kriteria yg telah ditetapkan sblmnya.
Preliminary Survey
Auditor akan berupaya
utk memperoleh gambaran yg akurat ttg lingkungan organisasi yg
diaudit, terutama berkaitan dengan :
- struktur & operasi organisasi
- lingkungan manajemen
- kebijakan, standar & prosedur kerja
Deskripsi tsb
akan membantu auditor utk:
- menentukan tujuan audit & rencana audit scr detail
- memanfaatkan sumber daya yg ada utk hal-hal yg sifatnya material
- mendisain tugas scr efisien & menghindari kesalahan
Control System Review
- Pd audit keuangan, audit dimulai dg review & evaluasi thdp SPI terutama yg berkaitan dg prosedur akuntansinya
- Pd audit kinerja, auditor hrs menelaah SPM utk menemukan kelemahan pengendalian yg signifikan agar menjadi perhatian manajemen & utk mettkan luas, sifat & waktu pekerjaan pemeriksaan berikutnya
- SPM memberikan gambaran ttg metoda & prosedur yg digunakan oleh organisasi utk mengendalikan kinerjanya
- Pengendalian manajemen bertujuan utk memastikan bhw tujuan organisasi dicapai scr ekonomis, efisien, & sesuai dg hukum & peraturan yg berlaku.
Tiga langkah prosedur
audit yg dilakukan pd
review sistem pengendalian:
1. Menganalisis sistem manajemen organisasi
2. Membandingkannya dg model yg ada.
3. Mencatat dugaan thdp setiap
ketidakcocokan/ketidaksesuaian
Pertanyaan yg diajukan auditor pada tahapan ini:
1. Apakah organisasi membuat perencanaan yg
cukup? Apakah strategi utk mencapai tujuan telah ditetapkan? Apakah standar
pencapaian tujuan juga telah ditetapkan?
2. Apakah organisasi sudah terstruktur dengan
baik untuk menjalankan aktivitasnya? Apakah sumber daya sudah tersedia dan
terdistribusi dengan baik?
3. Apakah rencana sudah dikomunikasikan kepada
pihak-pihak yang bertanggungjawab untuk melaksanakan?
4. Apakah kinerja telah dimonitor dengan
menggunakan dasar/kriteria yang pasti? Apakah penyimpangan dari rencana semula
diidentifikasi dan dianalisis dengan hati-hati? Apakah tindakan koreksi yang
tepat waktu telah dilaksanakan?
Kriteria penilaian
reliabilitas data dibagi
dalam dua area, yaitu:
1. Proses pengumpulan, perhitungan, dan pelaporan
data
1. Prosedur yang ada didisain untuk
memastikan fairness, dependability, &reliability data.
2. Terdapat pengendalian dalam proses pengumpulan
dan penghitungan data untuk memastikan integritas data.
3. Pengendalian yang telah ditetapkan sudah
dijalankan.
4. Terdapat dokumentasi yang memadai untuk
menentukan integritas data.
5. Kecukupan pelaporan data
1. Data yang dikumpulkan dan dihitung, dibuat
dengan dasar yang konsisten dengan tahun sebelumnya
2. Kewajaran dan reliabilitas data disajikan
dengan kriteria tertentu
Audit pada tahap
pengenalan dan perencanaan mempersiapkan dokumen:
1. Analitical memorandum berisi identifikasi kelemahan yang
material dalam sistem pengendalian manajemen dan pembuatan rekomendasi untuk
perbaikan atas kelemahan tersebut
2. Planning memorandum dibuat berdasarkan hasil review sistem
pengendalian untuk menentukan sifat, luas, dan waktu pekerjaan audit berikutnya
Indikator kinerja
dapat membantu pemakai laporan dalam menilai kinerja organisasi yang diaudit.
TAHAPAN AUDIT
Tahapan dalam audit
kinerja terdiri dari tiga elemen, yaitu:
1. program results review
2. economy and efficiency review
3. compliance review
Komponen audit adalah
1. identifikasi lingkungan manajemen
2. perencanaan dan tujuan
3. struktur organisasi
4. kebijakan dan praktik
5. sistem dan prosedur
6. pengendalian dan metodanya
7. sumber daya manusia dan lingkungan fisik
8. praktik pengelolaan staf
9. analisis fiskal
10. area khusus investigasi
TAHAPAN PELAPORAN
Laporan tertulis
bersifat permanen dan sangat penting untuk akuntabilitas publik. Hal terpenting
bahwa laporan tersebut dapat dipahami oleh pihak-pihak yang menerima dan
membutuhkan.
Tiga langkah
pengembangan laporan audit, yaitu:
1. preparation
2. review
3. transmission
Hal-hal yang perlu
diperhatikan dalam penulisan laporan adalah:
1. laporan audit kinerja harus ditulis secara
objektif
2. auditor tidak boleh overstate
3. informasi yang disajikan harus disertai suatu
bukti yang kompeten
4. auditor hendaknya menulis laporan secara
konstruktif, memberikan pengakuan terhadap kinerja yang baik maupun yang buruk
5. auditor hendaknya mengakomodasi usaha-usaha
yang dilakukan oleh manajemen untuk memperbaiki kinerjanya
Keahlian yang perlu
dimiliki dan dikembangkan oleh auditor agar menghasilkan laporan yang efektif
adalah:
1. Keahlian teknis
Keahlian yang dibutuhkan untuk
mengorganisasikan atau menyusun informasi audit menjadi sebuah laporan yang
koheren
2. Keahlian manajerial
Keahlian yang dibutuhkan untuk merencanakan,
mengorganisasikan, melaksanakan dan mengendalikan masing-masing tahap audit
untuk memastikan hasil akhir yang berkualitas dan tepat waktu.
3. Keahlianinterpersonal
Keahlian untuk menjaga hubungan baik
dengan auditee, kemampuan untuk menyampaikan temuan-temuan negatif
menjadi kesempatan-kesempatan positif sehingga mampu meyakinkan manajemen atas
potensi-potensi yang ada.
Kekhususan laporan
audit kinerja terletak pada rekomendasi untuk perbaikan
Sistematika laporan
audit kinerja, terdiri atas:
1. Pendahuluan
2. Umum
3. Surat pengiriman atau memorandum
4. Laporan ringkasan
5. Daftar isi laporan secara keseluruhan
6. Daftar tabel dan gambar
7. Teks
8. Pendahuluan
9. Body atau badan, mencakup:
1)
Pengantar masalah (jika perlu)
2)
Temuan-temuan
3)
Kesimpulan dan rekomendasi
1. Komentar auditee
2. Referensi Masalah
3. Footnotes
4. Lampiran
5. Bibliografi
6. Komentar auditee (jika tidak
dimasukkan ke dalam teks)
7. Bahan referensi
Langkah-langkah dalam
mengembangkan sebuah laporan audit adalah:
1. Menyiapkan temuan-temuan secara individual
2. Mengumpulkan semua referensi yang diperlukan
untuk mendukung teks
3. Menyiapkan teks
4. menyiapkan laporan inti
5. menyiapkan memorandum pengiriman laporan
Temuan audit
merupakan building blocks laporan audit, maksudnya bahwa temuan audit akan disajikan
secara tertulis sesuai dengan permasalahan yang relevan dan material yang
ditemukan selama audit, yang mencakup argumen yang logis & komplit dan
didukung oleh bukti-bukti yang cukup.
TAHAP PENINDAKLANJUTAN (FOLLOW UP)
Tindak lanjut didisain
untuk memastikan/memberikan pendapat apakah rekomendasi auditor sudah
diimplementasikan.
Hal-hal yang perlu
diperhatikan dalam tahap penindaklanjutan dari sisi auditor adalah:
1. Dasar untuk melakukan follow up adalah
perencanaan yang dilakukan oleh pihak manajemen
2. Pelaksanaan review follow up
3. Batasan review follow up
4. Implementasi rekomendasi :
a)
Implementasi oleh unit
kerja
b)
Implementasi oleh
eksekutif
c)
Peranan auditor dalam
implementasi rekomendasi audit (auditor hanya berperan sebagai pendukung)
d)
Peranan legislatif
dalam implementasi rekomendasi audit (merupakan otoritas tingkat akhir yang
dapat mengambil tindakan implementasi rekomendasi secara formal dengan
mengadopsi peraturan, mosi, dlsb.)
Beberapa pendekatan
implementasi rekomendasi oleh legislatif yaitu
·
Tindakan legislatif
secara formal
·
Tindakan legislatif
secara informal
·
Tindakan legislatif
melalui anggaran
5. Pemeriksaan kembali secara periodik
Sumber :
https://fakihwidiatmoko.wordpress.com/2013/02/26/proses-tahapan-audit/