Audit Sistem Informasi dan Tata Kelola Teknik Informasi

oleh :

Dwi Candra Kurniawan 13114282

Sistem Informasi

Fakultas Ilmu Komputer dan Teknik Informasi

Universitas Gunadarma

     3.1      Proses Audit Sistem Informasi

Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:

1.      Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.

2.      Tetapkan langkah-langkah audit yang rinci.

3.      Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.

4.      Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.

5.      Telaah apakah tujuan audit tercapai.

6.      Sampaikan laporan kepada pihak yang berkepentingan.

7.      Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.

Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:

1.      Audit subjective. Menentukan apa yang akan diaudit.

2.      Audit objective. Menentukan tujuan dari audit.

3.      Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.

4.      Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.

5.      Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.

6.      Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.

7.      Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.

8.      Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:

·         Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.

·         Kesimpulan umum dari auditor.

·         Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak

·         Rekomendasi. Tanggapan dari manajemen (bila perlu).

·         Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih

3.1.1.      Jenis – Jenis Audit Sistem Informasi

1.      Jenis Audit Berdasarkan Luas Pemeriksaan

a.       Pemeriksaan Umum (General Audit)

Pemeriksaaan umum atas laporan keuangan yang dilakukan oleh Kantor Akuntan Publik (KAP) yang indipendent dengan tujuan dapat menilai sekaligus memberikan opini mengenai kewajaran laporan keuangan.

b.      Pemeriksaan Khusus (Special Audit)

Suatu pemeriksaan yang hanya terbatas pada permintaan audit yang dilakukan oleh Kantor Akuntan Publik (KAP). Dengan memberikan opini.

2.      Jenis Audit Berdasarkan Bidang Pemeriksaan

a.       Audit Laporan Keuangan (Financial Statement Audit)

Kegiatan mengumpulkan dan mengevaluasi bukti tentang laporan-laporan suatu entitas dengan tujuan memberikan pendapat (opini) tentang laporan tersebut apakah sesuai dengan kriteria yang ditetapkan sesuai prinsip-prinsip akuntansi yang berlaku umum.

b.      Audit Operasional (Management Audit)

Jenis pemeriksaan terhadap kegiatan operasi suatu perusahaan meliputi kebijakan akuntansi dan kebijakan operasional manajemen yang telah ditetapkan, dengan tujuan untuk mengetahui kegiatan operasi yang dilakukan berjalan  secara efektif dan efisien.

c.       Audit Ketaatan (Compliance Audit)

Pemeriksaan yang tujuanya untuk mengetahui apakah perusahaan telah mentaati peraturan dan kebijakan-kebijakan yang nerlaku baik yang di tetapkan oleh pihak intern maupun pihak ekstern entitas/perusahaan.

d.      Audit Sistem Informasi

Pemeriksaan yang dilakukan Kantor Akuntan Publik (KAP) terhadap perusahaan yang melakukan proses data akuntansi, umumnya menggunakan system Elektronik Data Processing (EDP).

e.       Audit Forensik

Tindakan menganalisa dan membandingkan antara kondisi di lapangan dengan criteria, untuk menghasilkan informasi atau bukti kuantitatif yang bisa digunakan di muka pengadilan. 

f.       Audit Investigasi

Serangkaian kegiatan mengenali (recorganized), menidentifikasi (Identify) dan menguji (examine) fakta-fakta dan informasi yang ada guna mengungkap kejadian yang sebenarnya dalam rangka pembuktian demi mendukung proses hukum atas dugaan penyimpangan yang dapat merugikan keuangan suatu entitas (organisasi/perusahaan/negara/daerah).

g.      Audit Lingkungan

Proses manajemen yang meliputi evaluasi secara sistematik, tercatat (terdkumentasi), serta obyektif tentang bagaimana suatu kinerja manajemen organisasi  yang bertujuan memfasilitasi kendali manajemen terhadap upaya pengendalian dampak lingkungan dan pemanfaatan kebijakan usaha terhadap perundang-undangan tentang pengelolaan lingkungan.

3.      Jenis Audit Berdasarkan Kelompok Pelaksana Audit (Auditor)

a.       Auditor Internal

Membantu manajemen puncak (top management) dalam mengawasi asset (saveguard of asset) dan mengawasi kegiatan operasional perusahaan sehari-hari. bekerja untuk perusahaan yang mereka audit.

b.      Auditor Ekstern

Bekerja untuk lembaga / kantor akuntan publik (pihak ke-3) yang statusnya diluar struktur perusahaan yang mereka audit dan bekerja secara independent dan objektif. Umumnya auditor ekstern menghasilkan laporan financial audit.

c.       Auditor Pajak

Melakukan ketaatan wajib pajak yang diaudit menurut undang-undang perpajakan yang berlaku. Di Indonesia dilaksanakan oleh Direktorat Jendral Pajak (DJP) yang berada dibawah naungan Departemen Keuangan Republik Indonesia.

d.      Auditor Pemerintah

e.       Menilai kewajaran informasi laporan keuangan instansi pemerintah atas pelaksanaan program dan penggunaan asset milik pemerintah. Audit instansi pemerintah umumnya dilaksanakan oleh Badan Pemeriksa Keuangan (BPK) atau Badan Pemeriksa Keuangan dan Pembangunan (BPKP).

3.1.2.      Jenis-jenis Resiko Audit

Model  risiko audit memiliki 4 jenis risiko audit. Masing-masing jenis risiko audit tersebut adalah:

1.      Planned Detection Risk (Risiko Penemuan yang Direncanakan)

Risiko bahwa bukti yang dikumpulkan dalam segmen gagal menemukan kekeliruan yang melampaui jumlah yang dapat ditolerir.

2.      Acceptable Audit Risk (Risiko Audit yang dapat diterima)

Ukuran atas tingkat kesediaan auditor untuk menerima kenyataan bahwa laporan keuangan mungkin masih mengandung salah saji yang material setelah audit selesai dilaksanakan serta suatu laporan audit wajar tanpa syarat telah diterbitkan.

3.      Inherent Risk (Risiko Bawaan atau Risiko Melekat)

Suatu ukuran yang dipergunakan oleh auditor dalam menilai adanya kemungkinan bahwa terdapat sejumlah salah saji yang material (kekeliruan atau kecurangan) dalam suatu segmen sebelum ia mempertimbangkan keefektifan dan pengendalian intern yang ada.

4.      Control Risk (Risiko Pengendalian)

Ukuran penetapan auditor akan kemungkinan adanya kekeliruan (salah saji) dalam segmen audit yang melampaui batas toleransi yang tidak terdeteksi atau tercegah oleh struktur pengendalian intern klien.

      3.2.      Tata Kelola Teknik Informasi

Tata Kelola TI adalah suatu cabang dari tata kelola perusahaan yang terfokus pada Sistem/Teknologi informasi  serta manajemen Kinerja  dan risikonya. Pada dasarnya tata kelola TI tidak dapat dipisahkan dengan corporate governance, ini menurut Erik Guldentops, 2003. IT Governance Institute atau biasa disingkat ITGI (2000) mendefinisikan bahwa Tata kelola TI merupakan tanggung jawab dari manajemen eksekutif atau direksi, dan merupakan bagian dari enterprise governance.

Tata kelola TI pada dasarnya berfokus pada dua hal yaitu bagaimana TI memberikan nilai tambah bagi bisnis dan penanganan risiko pada implementasi (TI ITGI 2006).

Tata kelola TI adalah struktur kebijakan atau prosedur dan kumpulan proses yang bertujuan untuk memastikan kesesuaian penerapan TI dengan dukungannya terhadap pencapaian tujuan institusi, dengan cara mengoptimalkan keuntungan dan kesempatan yang ditawarkan TI, mengendalikan penggunaan terhadap sumber daya TI dan mengelola resiko-resiko terkait TI.

3.2.1.      Kerangka Tata Kelola TI/Struktur

IT Governance terdiri dari struktur organisasi, kepemimpinan, dan proses yang memastikan IT dapat mendukung strategi dan tujuan organisasi. Ada 5 komponen dari IT Governance yaitu Struktur Organisasi dan Governance, Kepemimpinan dan Dukungan Eksekutif, Perencanaan strategis dan opresional, Penyampaian Service dan pengukuran, Organisasi IT dan Manajemen Resiko.

3.2.2.      Audit Tata Kelola TI

IT Governance atau tata kelola TI berfokus pada TI, performa TI dan manajemen resiko. Tata Kelola IT ini termasuk memproses dan mengkombinasi kontrol-kontrol yang membantu organisasi lebih baik mengatur lingkungan TI dan menyeimbangkan keseluruhan profil resiko TI dan tujuan organisasi.

IT Governance berfungsi untuk memastikan tujuan IT ditemukan dan resiko IT dapat dimitigasi sehingga IT dapat menghasilkan value untuk bertahan dan bertumbuh pada organisasi. Selain itu, IT Governance juga membantu meningkatkan kemampuan perusahaan untuk mencapai keseluruhan capaian dan tujuan perusahaan. Oleh karena itu, seluruh stakeholder harus berpatisipasi dalam pengambilan keputusannya.