Saturday, October 28, 2017

AUDIT SISTEM INFORMASI

1. TABEL PERBANDINGAN +/- STANDAR AUDIT SI


2. KONSEP DASAR KONTROL

Proses dalam pelaksanaan audit sistem informasi berbasis kendali sesuai standar audit yaitu:
a. Mengumpulkan bukti-bukti yang memadai melalui berbagai teknik seperti survei, interview, observasi, review.
b. Jika bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka auditor menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer Aided Auditing Technique) yang bertujuan untuk menganalisa data seperti penjualan, pembelian, transaksi, dan lain-lain)
c. Sesuai standar auditing ISACA (information System Audit And Control Association) Auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaansifat dan kedalaman pemeriksaan.
d. Laporan juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju, dan batasan-batasan distrubusi laporan.
e. Laporan juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana layaknya laporan audit. 

·        Audit sistem informasi berbasis kendali merupakan  suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete (tidak komplet/tidak sesuai), redundant (mubazir), ineffective, ineffeicient event, tujuannya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.
·        Berdasarkan standar manajemen yang dikeluarkan oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:
a. P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.
b. W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.
c. F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.
d. S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.
PRINSIP PRINSIP DASAR PROSES AUDIT SI

·         Audit dititikberatkan pada objek audit yang mempunyai peluang untuk diperbaiki
·          Prasyarat Penilaian terhadap kegiatan objek audit
·         Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif
·          Identifikasi individu yang bertanggungjawab terhadap kekurangan-kekurangan yang terjadi.
·         Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab
·         Pelanggaran hokum
·         Penyelidikan dan pencegahan kecurangan

 STANDAR DAN PANDUAN AUDIT SI
Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya.

3. KONTROL INTERNAL
Proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.

RUANG LINGKUP INTERNAL : Menilai keefektifan sistem pengendalian intern, pengevaluasian terhadap kelengkapan dan keefektifan sistem pengendalian internal yang dimiliki organisasi, serta kualitas pelaksanaan tanggung jawab yang diberikan.

SISTEM KONTROL INTERNAL : Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.

CONTROL OBJECTIVES : Efektivitas proses departemen dalam mendukung desain dan persetujuan kerangka pengendalian program berbasis risiko dan mengatur dan mendukung pengumpulan dan penggunaan laporan penerima.

CONTROL RISK : Risiko pengendalian(control risks) adalah salah satu material yang tidak dapat dicegah ataupun dideteksi secara tepat pada waktunya oleh berbagai kebijakan dan prosedur struktur pengendalian intern perusahaan.  

 MANAGEMENT CONTROL FRAMEWORK : Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.

APPLICATION CONTROL FRAMEWORK : Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses  bisnis individu atau sistem aplikasi.


4. Aspek Management Control Framework
1.   Planning and Organization

Mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

2.   Acquisition and Implementation

Identifikassi solusi Ti kemudian di implementassikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.

3.   Delivery and Support

Domain yang berhubungan dengan penyimpanan layanan yang diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training. 

4.   Monitoring
Semua proses TI perlu dinilai secara teratur dan berkala bagaimmana kualitas dan kesesuiananya dengan kebutuhan control.

SUMBER :

Friday, October 6, 2017

Lembaga Audit Negara di Indonesia

Berikut ini merupakan Lembaga Audit Negara di Indonesia,yaitu:

1.      LPAI

LPÄI Lembaga Pengembangan Auditor Internal adalah lembaga yang concern terhadap pengembangan SDM bidang audit internal. Sebagai salah satu divisi training dari Proesdeem Indonesia lembaga konsultan manajemen yang sejak 1995 memfokuskan kegiatannya pada pelatihan manajemen — LPÄI menyelenggarakan pelatihan internal audit dan fraud audit secara lengkap, terprogram-berkesinambungan, serta kurikulum berkualitas. Pelatihan yang diselenggarakan oleh LPAI senantiasa dievaluasi dan diupdate — mengacu pada perkembangan pengetahuan dan praktek bisnis paling mutakhir — dimana benchmarknya adalah lembaga-lembaga internal audit dan fraud audit yang sudah dikenal baik reputasinya di dunia.
Selain itu program pelatihan yang diselenggarakan oleh LPAI didukung oleh tenaga instruktur berpengalaman, baik sebagai instruktur maupun sebagai auditor ataupun praktisi manajemen lainnya serta memiliki background pendidikan S2 dan Ph.D. dari dalam dan luar negeri. Sebagian besar instruktur LPAI adalah praktisi audit yang memiliki sertifikat keahlian atau profesi seperti CIA, CFE, CISA, dan sebagainya.

2.      BPK
BPK RI didirikan tahun 1946 yang bertugas untuk melakukan audit yang berkaitan dengan pengelolaan keuangan negara dan tanggung jawab yang dilakukan oleh pemerintah pusat, pemerintah daerah, lembaga negara lain seperti Bank Indonesia, BUMN, BUMD, Dewan Pelayanan Publik, dan lembaga lain yang mengelola keuangan negara. BPK RI menyerahkan hasil audit kepada DPR, DPD, dan DPRD sesua dengan kewnangan masing-masing..
Badan Pemeriksa Keuangan Republik Indonesia (disingkat BPK RI) adalah lembaga tinggi negara dalam sistem ketatanegaraan Indonesia yang memiliki wewenang memeriksa pengelolaan dan tanggung jawab keuangan negara. Menurut UUD 1945, BPK merupakan lembaga yang bebas dan mandiri. Badan Pemeriksa Keuangan Republik Indonesia (disingkat BPK RI) adalah lembaga tinggi negara dalam sistem ketatanegaraan Indonesia yang memiliki wewenang memeriksa pengelolaan dan tanggung jawab keuangan negara. Menurut UUD 1945, BPK merupakan lembaga yang bebas dan mandiri.

3.         BPKP

Badan Pengawasan Keuangan dan Pembangunan, atau yang disingkat BPKP, adalah Lembaga pemerintah nonkementrian Indonesia yang melaksanakan tugas pemerintahan di bidang pengawasan keuangan dan pembangunan yang berupa Audit, Konsultasi, Asistensi, Evaluasi, Pemberantasan KKN serta Pendidikan dan Pelatihan Pengawasan sesuai dengan peraturan yang berlaku.
Hasil pengawasan keuangan dan pembangunan dilaporkan kepada Presiden selaku kepala pemerintahan sebagai bahan pertimbangan untuk menetapkan kebijakan-kebijakan dalam menjalankan pemerintahan dan memenuhi kewajiban akuntabilitasnya. Hasil pengawasan BPKP juga diperlukan oleh para penyelenggara pemerintahan lainnya termasuk pemerintah provinsi dan kabupaten/kota dalam pencapaian dan peningkatan kinerja instansi yang dipimpinnya

SUMBER : 

Standar dan Panduan Audit Sistem Informasi

Standar dan Panduan Audit Sistem Informasi yang terdiri dari

1. ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.
ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.
•      Sifat khusus audit sistem informasi, keterampilan dan pengetahuan yang diperlukan untuk melakukan audit SI memerlukan standar yang berlaku secara global
•     ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan
•      Dalam famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines and procedures
•      Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor.
•      Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.
•      Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.
•      Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.

2. COSO

The Comitte of Sponsoring Organizations of the treadway commission’s (COSO) dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut terdiri dari American Accounting Association, American Instititue of Certified Public Accountants, Financial Executives International, Instititute of Management Accountants, dan The Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.
Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:
 1. Lingkungan pengendalian
 2. Penilaian resiko
 3. Aktifitas pengendalian
 4. Informasi dan komunikasi
 5. Pemantauan


3. ISO 1799

Menghadirkan sebuah standar untuk sistem manajemen keamanan informasi yang meliputi dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung jawab menyediakan semua pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk laporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengikuti kebutuhan untuk pelindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan.


 SUMBER:

Analisa Resiko

Analisis Risiko adalah suatu metode analisis yang meliputi faktor penilaian, karakterisasi, komunikasi, manajemen dan kebijakan yang berkaitan dengan risiko tersebut. Tahapan kegiatan analisis risiko antara lain meliputi: identifikasi hazard, proyeksi risiko, penilaian risiko, dan manajemen risiko. Penilaian risiko dapat dilakukan secara kuantitatif atau kualitatif.

1. Identifikasi Hazard
Dalam aktivitas identifikasi, maka informasi yang akan didapatkan adalah tipe hazard dan magnitude hazard.

2. Proyeksi Risiko
Proyeksi atau estimasi risiko dilakukan untuk me-rating risiko berdasarkan kecenderungan bahwa risiko tersebut akan menjadi kenyataan dan segala konsekuensi dari masalah yang berhubungan dengan risiko tersebut. Proyeksi risiko merupakan komponen utama dalam tahap penilaian risiko.
Tahap ini meliputi: penetapan skala yg merefleksikan persepsi kecenderungan suatu risiko (skala dapat bersifat kualitatif ataupun kuantitatif), menggambarkan konsekuensi dari risiko, menetapkan dampak dari risiko, dan ketepatan secara menyeluruh dari proyeksi risiko.

3. Penilaian Risiko
Risiko diberi bobot berdasarkan persepsi dampak dan prioritas. Dampak merupakan fungsi dari 3 faktor yaitu:
·         Kecenderungan akan terjadinya kejadian.
·         Lingkup risiko, merupakan kombinasi tingkat keparahan dan jangkauan distribusi risiko.
·         Waktu dan lamanya dampak dirasakan.

4. Teknik Penilaian Risiko
Teknik penilaian risiko dapat dilakukan secara kualitatif atau kuantitatif.
Karakteristik penilaian kualitatif meliputi tipe efek kesehatan, estimasi frekuensi pemajanan (harian, mingguan, bulanan), lokasi hazard dalam hubungannya dengan tempat kerja. Sedangkan karakteristik penilaian kuantitatif meliputi data pengukuran pemajanan, konsentrasi zat, angka kesakitan/kematian, modeling analisis konsekuensi dari pemajanan terhadap hazard dan modeling frekuensi pemajanan.

4.1. Penilaian Kuantitatif Risiko    
Kuantifikasi terhadap suatu risiko akan sangat tergantung pada kondisi nature hazard, kemudahan utk diukur (measurable) dan adanya suatu standar yg dipakai. Untuk mengkuantifikasi risiko, ketiga komponen risiko (frekuensi, probabilitas dan hasil jadi atau outcome) harus bisa diekspresikan secara matematika (modeling). Modeling merupakan teknik untuk melihat pola kejadian.
Frekuensi dapat diekspresikan dengan menggunakan data riwayat pemajanan atau incident record. Probabilitas dapat dibuat skala dengan rentang nilai ( 0 < P < 1 ). Hasil jadi (outcome) atau konsekuensi dari hasil pemajanan terhadap suatu hazard dapat diukur sebagai berikut: jumlah kasus kematian atau cedera, kasus sakit serius dan biaya kerusakan (lost cost). Kelemahan penilaian risiko kuantitatif, antara lain sifatnya sangat natur sehingga tidak memperhatikan persepsi dan perlakuan terhadap hazard.
Hal lain yang dapat dilakukan secara kuantifikasi, misalnya untuk modeling kebakaran (fire and explosion). Penilaian kuantitatif risiko ini pada umumnya sangat aplikatif untuk chemical atau process engineers. Contoh penilaian kuantitatif, misalnya penentuan LD50 dan LC50. Keduanya adalah modeling utk penilaian lethal dose dan lethal concentration dengan pengukuran durasi pemajanan, konsentrasi atau dosis hazard dan hasil jadi (kematian).

4.2. Penilaian Kualitatif Risiko
Metode penilaian risiko secara kualitatif terkesan subjektif dan memberi peluang multiinterpretasi dan debat. Persepsi risiko bisa bervariasi untuk setiap orang. Ada beberapa metode yang dapat diterapkan

4.2.1. Fine’s Risk Score
Fine’s risk score adalah model untuk melakukan penilaian risiko dengan formula sbb: Risiko adalah hasil pengalian faktor-faktor yang terdiri dari: konsekuensi x faktor exposure x faktor probabilitas (R = C x E x P).
Ketiga faktor tersebut diklasifikasikan dalam beberapa kelas dan diberi rating.  Hasil perhitungan risiko (risk score) dapat dipergunakan untuk memperkirakan kejadian, mengalokasikan resources dan mengontrol hazard. Maka apabila sudah dapat men-score risiko, dapat dilakukan kalkulasi biaya untuk intervensi.

FACTOR
CLASSIFICATION
RATING
1. Consequence
Catastrophe, numerous facilities
100
Multiple facilities
50
Fatality
25
Extremely serious injury
15
Disabling injury
5
Minor cuts, bruises, bumps
1
2. Exposure
Hazard event occurs:
Continuously
10
Frequently
6
Occasionally
3
Unusually
2
Rarely
1
Remotely
0,5
3. Probability
Complete accident sequence:
Is the most likely and expected result
10
Is quite possible, not unusual
6
Would be an unusual sequence
3
Remotely possible
1
Has never happened after many years of exposure, but conceivably possible
0,5
Practically impossible
0,1

Beberapa keterbatasan model ini antara lain:
·         Data bukan merupakan data konkret, tetapi berupa data estimasi,
·         Potensi personal bias dan pengalaman akan mempengaruhi hasil akhir, dan
·         Risk score hanya dipergunakan sbg baseline level dari risiko tidak didifinisikan sbg safe atau unsafe.

4.2.2. TTC Hazard Rating System
TTC hazard rating system mempergunakan huruf alfabet untuk me-ranking risiko.
Kriteria level: severity, probabilitas dan biaya untuk intervensi
Model ini berguna untuk komparasi penilaian risiko dari berbagai hazard dan bermanfaat utk membuat list prioritas untuk kebijakan pengendalian hazard.

CRITERIA
LEVEL
CODE
A
B
C
D
Severity
Fatality
Serious/
Lost Time Injury
First aid injury,
no time
Injury not likely no measureable impact
Probability
One or more time each working day
At least once each week
At least once each month
less than once each month
Cost of Corrective Action
Less than $1 K or no cost
$ 1 K to       $ 10 K
$ 10 K to  $ 25 K
$ 25 K or more, no practical Solution

4.2.3. FLAME Model
FLAME Model merupakan kelanjutan dari Fine’s risk score dan TTC Hazard Rating system.
FLAME menghitung nilai risiko dengan mengkombinasikan beberapa variabel: Frekuensi dari proses, kecenderungan timbulnya hazard, antisipasi kerugian, misi dampak, karyawan/sistem yang terpajan.

Model risiko : R = log x, dimana x = F x L x A x M x E
F = Frekuensi             score: 1 – 100
L = Kecenderungan    score: 1 – 100
A = Antisipasi kerugian score: 1 – 100
M = Misi dampak        score: 1 – 100
E = Karyawan yang terpajang
Very high risk  score: 8
High risk          score: 6 — 7,99
Substansial risk score: 4 —5,99
Possible risk    score: 2 — 3,99
Doubtful risk   score: < 2,00


SUMBER
1)    http://soemarno.multiply.com/analisis risiko
2)  Tjandra Yoga Aditama & Tri Hastuti (Ed.).  2002. Kesehatan dan Keselamatan Kerja.Jakarta: Penerbit Universitas Indonesia

Jenis - Jenis Audit

Berikut ini merupakan Jenis-Jenis Audit:

1. Audit Internal

Audit internal adalah auditor yang bekerja untuk perusahaan dimana mereka bekerja. Mereka bertugas untuk mengawasi asset  dan mengawasi aktifitas sehari-hari operasional perusahaan mereka. Dan juga mempunyai tugas membantu manajemen puncak dalam mengawasi asset dan mengawasi kegiatan operasional perusahaan sehari-hari. bekerja untuk perusahaan yang mereka audit, oleh karena itu tugas auditor intern adalah mengaudit manajemen perusahaan termasuk compliance audit.


Fungsi dan Tujuan Internal Audit
Secara umum dapat dikatakan bahwa fungsi internal audit bagi manajemen perusahaan adalah untuk menjamin pelaksanaan operasional yang sesuai dengan ketentuan-ketentuan yang berlaku.
Di dalam perusahaan, internal audit merupakan fungsi staff, sehingga tidak memiliki wewenang untuk langsung memberi perintah kepada pegawai, juga tidak dibenarkan untuk melakukan tugas-tugas operasional dalam perusahaan yang sifatnya di luar kegiatan pemeriksaan.


Audit internal terlibat dalam memenuhi kebutuhan manajemen, dan staf audit yang paling efektif meletakkan tujuan manajemen dan organisasi di atas rencana dan aktivitas mereka. Tujuan-tujuan audit disesuaikan dengan tujuan manajemen, sehingga auditor internal itu sendiri berada dalam posisi untuk menghasilkan nilai tertinggi pada hal-hal yang dianggap manajemen paling penting bagi kesuksesan organisasi.


Perumusan fungsi internal audit dalam perusahaan biasanya menyangkut sistem pengendalian manajemen, ketaatan, pengungkapan  penyimpangan, efisiensi dan efektivitas, manajemen risiko, dan proses tata kelola (good corporate governance).

Fungsi internal audit menjadi semakin penting sejalan dengan semakin kompleksnya operasional perusahaan. Manajemen tidak mungkin dapat mengawasi seluruh kegiatan operasional perusahaan, karena itu manajemen sangat terbantu oleh fungsi internal audit untuk menjaga efisiensi dan efektivitas kegiatan.


Sawyer (2005:32) menyebutkan fungsi internal audit bagi manajemen sebagai berikut :
·         Mengawasi kegiatan-kegiatan yang tidak dapat diawasi sendiri oleh manajemen puncak.
·         Mengidentifikasi dan meminimalkan risiko.
·         Memvalidasi laporan ke manajemen senior.
·         Membantu manajemen pada bidang-bidang teknis.
·         Membantu proses pengambilan keputusan.
·         Menganalisis masa depan – bukan hanya untuk masa lalu.
·         Membantu manajer untuk mengelola perusahaan.   


Tujuan pemeriksaan yang dilakukan oleh internal auditor adalah untuk membantu semua pimpinan perusahaan (manajemen) dalam melaksanakan tanggung jawabnya dengan memberikan analisa, penilaian, saran dan komentar mengenai kegiatan yang diperiksanya. Untuk mencapai tujuan tersebut, internal auditor harus melakukan kegiatan-kegiatan berikut :
- Menelaah dan menilai kebaikan, memadai tidaknya dan penerapan dari sistem pengendalian manajemen, pengendalian intern, dan pengendalian operasional lainnya serta mengembangkan pengendalian yang efektif dengan biaya yang tidak terlalu mahal- Memastikan ketaatan terhadap kebijakan, rencana dan prosedur-prosedur yang telah ditetapkan oleh manajemen
-  Memastikan seberapa jauh harta perusahaan dipertanggung jawabkan dan dilindungi dari kemungkinan terjadinya segala bentuk pencurian, kecurangan dan penyalahgunaan
- Memastikan bahwa pengelolaan data yang dikembangkan dalam organisasi dapat dipercaya
- Menilai mutu pekerjaan setiap bagian dalam melaksanakan tugas yang diberikan oleh manajemen.
-  Menyarankan perbaikan-perbaikan operasional dalam rangka meningkatkan efisiensi dan efektivitas.

2. Audit System Informasi


Audit Sistem Informasi (Informatin System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit  adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).

Tujuan Audit System Informasi

Tujuan audit system informasi menurut Ron Weber (1999:11-13) secara garis besar terbagi menjadi empat tahap, yaitu:


a. Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.  


b. Menjaga integritas data
Integritas data (data integrity) adalah salah satu konsep dasar sistem inforamasi. Data memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian


c. Efektifitas Sistem
Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.


d. Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.     


e. Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.


Jenis-jenis Audit System Informasi


Audit system informasi dapat digolongkan dalam tipe atau jenis-jenis audit sebagai berikut.


a. Audit Laporan Keuangan (Financial Statement Audit)
Adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan data telah substantif.


b. Audit Operasional (Operational Audit)
Audit terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:

-Post implementation Audit (Audit setelah implementasi)
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.    
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.

-Concurrent audit (audit secara bersama)         
Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.

-Concurrent Audits (audit secara bersama-sama)       
Auditor mengevaluasi kinerja unit fungsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.

Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan.
Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.


3. Audit Kecurangan(Fraud)


Fraud auditing atau audit kecurangan adalah upaya untuk mendeteksi dan mencegah kecurangan dalam transaksi-transaksi komersial. Untuk dapat melakukan audit kecurangan terhadap pembukuan dan transaksi komersial memerlukan gabungan dua keterampilan, yaitu sebagai auditor yang terlatih dan kriminal investigator.


Apabila suatu kesalahan adalah disengaja, maka kesalahan tersebut merupakan kecurangan (fraudulent). Istilah “Irregulary” merupakan kesalahan penyajian keuangan yang disengaja atas informasi keuangan. Auditor terutama tertarik pada pencegahan, deteksi, dan pengungkapan kesalahan-kesalahan karena alasan berikut ;


a. Eksistensi kesalahan dapat menunjukan bagi auditor bahwa catatan akuntansi dari kliennya tidak dapat dipercaya dan dengan demikian tidak memadai sebagai suatu dasar untuk penyusunan laporan keuangan. Adanya sejumlah besar kesalahan dapat mengakibatkan auditor menyimpulakan bahwa catatan akuntansi yang tepat tidak dilakukan.


b. Apabila auditor ingin mempercayai pengendalian intern, ia harus memastikan dan menilai pengendalian tersebut dan melakukan pengujian ketaatan atas operasi. Apabila pengujian ketaatan menunjukan sejumlah besar kesalahan, maka auditor tidak dapat mempercayai pengendalian intern.


c. Apabila kesalahan cukup material, kesalahan tersebut dapat mempengaruhi kebenaran (truth) dan kewajaran (fairness) laporan tersebut.

Istilah kecurangan digunakan untuk berbagai perbuatan dosa yang termasuk :

a. Kecurangan yang melibatkan perlakuan penipuan untuk mendapatkan keuntungan keuangan yang tidak adil atau ilegal.        

b. Pernyataan salah yang disengaja dalam penghilangan suatu jumlah atau pengungkapan dati catatan akuntansi atau laporan keuangan suatu entitas.

c. Pencurian (theft), apakah disertai dengan penyataan yang salah dari catatan akuntansi atau laporan keuangan atau tidak.

4.  Audit Eksternal


Audit Eksternal adalah pemeriksaan berkala terhadap pembukuan dan catatan dari suatu entitas yang dilakukan oleh pihak ketiga secara independen (auditor), untuk memastikan bahwa catatan-catatan telah diperiksa dengan baik, akurat dan sesuai dengan konsep yang mapan, prinsip, standar akuntansi, persyaratan hukum dan memberikan pandangan yang benar dan wajar keadaan keuangan badan.

5.   Audit Keuangan


Menurut Boynton dan Kell (2003:6), terdapat tiga tipe audit, yaitu:

1. Audit laporan keuangan (financial statement audit), berkaitan dengan kegiatan memperoleh dan mengevaluasi bukti tentang laporan-laporan entitas dengan maksud agar dapat memberikan pendapat apakah laporan-laporan tersebut telah disajikan secara wajar sesuai dengan kriteria yang telah ditetapkan, yaitu prinsip-prinsip akuntansi yang berlaku umum (GAAP). 

2. Audit kepatuhan (compliance audit), berkaitan dengan kegiatan memperoleh dan memeriksa bukti-bukti untuk menetapkan apakah kegiatan keuangan atau operasi suatu entitas telah sesuai dengan persyaratan ketentuan, atau peraturan tertentu.

3. Audit operasional (operational audit), berkaitan dengan kegiatan memperoleh dan mengevaluasi bukti-bukti tentang efisiensi dan efektivitas kegiatan operasi entitas dalam hubungannya dengan pencapaian tujuan tertentu.


Yusuf (2001:6) menyatakan audit atas laporan keuangan adalah salah satu bentuk jasa atestasi yang dilakukan auditor. Dalam pemberian jasa ini, auditor menerbitkan laporan tertulis yang berisi pernyataan pendapat apakah laporan keuangan telah disusun sesuai dengan prinsip-prinsip yang berlaku umum.


Dalam PSA No. 02 (IAI,2001:110.1) dinyatakan bahwa tujuan audit umum atas laporan keuangan oleh auditor independen adalah untuk menyatakan pendapat atas kewajaran dalam semua hal yang material, posisi keuangan, hasil usaha, dan arus kas yang sesuai dengan prinsip akuntansi yang berlaku umum. Laporan auditor merupakan sarana bagi auditor untuk menyatakan pendapatnya, atau apabila keadaan mengharuskan, untuk menyatakan tidak memberikan pandapat, ia harus menyatakan apakah auditnya telah dilaksanakan berdasarkan standar auditing yang telah ditetapkan Ikatan Akuntan Indonesia.

Dalam pelaksanaannya, audit atas laporan keuangan melalui beberapa tahapan (Mulyadi dan Puradiredja,1997:117), yaitu:

1. Penerimaan Penugasan Audit.         
Di dalam memutuskan apakah suatu penugasan audit dapat diterima atau tidak, auditor menempuh suatu proses yang terdiri dari 6 tahap, yaitu:   
a. Mengevaluasi integritas manajemen.           
b. Mengidentifikasi keadaan khusus dan resiko luar biasa.
c. Menentukan kompensasi untuk melaksanakan audit.     
d. Menilai independensi. 
e. Menentukan kemampuan untuk menggunakan kecermatan dan keseksamaan.      
f. Membuat surat penugasan audit.

2. Perencanaan Audit.     
Keberhasilan penyusunan penugasan audit sangat ditentukan oleh kualitas perencanaan audit yang dibuat oleh auditor. Tujuh tahapan yang harus ditempuh oleh auditor dalam merencanakan auditnya, yaitu:
a. Memahami bisnis dan industri klien 
b. Melaksanakan prosedur analitik.      
c. Mempertimbangkan tingkat materialitas awal.        
d. Mempertimbangkan risiko bawaan.  
e. Mempertimbangkan berbagai faktor yang berpengaruh terhadap saldo awal, jika penugasan klien berupa audit tahun pertama.      
f. Mereview informasi yang berhubungan dengan kewajiban-kewajjiban legal klien.
g. Mengembangkan strategi audit awal terhadap asersi signifikan.
h. Memahami struktur pengendalian intern klien.

3. Pelaksanaan Pengujian Audit
Tahap ini disebut juga tahap ”pekerjaan lapangan”. Tujuannya adalah untuk memperoleh bukti auditing tentang efektivitas struktur pengendalian intern klien dan kewajaran laporan keuangan klien. Tahap ini harus mengacu pada standar pekerjaan lapangan.

4.Pelaporan Audit.
Tahap ini harus mengacu pada standar pelaporan. Dua langkah penting yang dilakukan adalah menyelesaikan audit dengan meringkas semua hasil pengujian dan menarik kesimpulan serta menerbitkan laporan audit yang melampiri laporan keuangan yang diterbitkan klien.

Daftar Pustaka :