Audit Sistem Informasi
1.) TABEL PERBANDINGAN +/- STANDAR AUDIT SI
2.) A. KONSEP DASAR KONTROL
Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”.
Audit sistem informasi dilakukan untuk dapat menilai:
a. apakah sistem komputerisasi suatu organisasi/perusahaan dapat mendukung pengamanan aset.
b. apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan.
c. apakah sistem komputerisasi tersebut efektif, efisien dan data integrity terjamin.
B. PRINSIP-PRINSIP DASAR PROSES AUDIT SI
· Audit dititikberatkan pada objek audit yang mempunyai peluang untuk diperbaiki
· Prasyarat Penilaian terhadap kegiatan objek audit
· Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif
· Identifikasi individu yang bertanggungjawab terhadap kekurangan-kekurangan yang terjadi.
· Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab
· Pelanggaran hokum
· Penyelidikan dan pencegahan kecurangan
C. STANDAR DAN PANDUAN AUDIT SI
Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya.
3.) A. KONTROL INTERNAL
Melalui Statement of Auditing Standar (SAS), AICPA mendefinisikan Internal Control sama dengan definisi COSO, yaitu suatu proses yang dipengaruhi oleh aktivitas Dewan Komisaris, Manajemen dan Pegawai, yang dirancang untuk memberikan keyakinan yang wajar atas (a) keandalan pelaporan keuangan, (b) efektivitas dan efisiensi operasi, dan (c) ketaatan terhadap hukum dan peraturan yang berlaku. Berbeda dengan definisi pertama yang hanya mengaitkan pengendalian hanya dengan perencanaan, metode dan pengukuran, pada definisi berikutnya terkait dengan “proses yang dipengaruhi oleh aktivitas seluruh komponen organisasi”. Definisi ini mengandung makna yang lebih luas dari definisi sebelumnya.
Dalam teori akuntansi dan organisasi, pengendalian intern atau internal control didefinisikan sebagai suatu proses, yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi, yang dirancang untuk membantu organisasi mencapai suatu tujuan atau objektif tertentu. Pengendalian intern merupakan suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi. Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud) dan melindungi sumber daya organisasi baik yang berwujud (seperti mesin dan lahan) maupun tidak (seperti reputasi atau hak kekayaan intelektual seperti merek dagang).
Untuk menjaga agar sistem internal control ini benar-benar dapat dilaksanakan, maka sangat diperlukan adanya internal auditor atau bagian pemeriksaan intern. Fungsi pemeriksaan ini merupakan upaya tindakan pencegahan, penemuan penyimpangan-penyimpangan melalui pembinaan dan pemantauan internal control secara berkesinambungan. Bagian ini harus membuat suatu program yang sistematis dengan mengadakan observasi langsung, pemeriksaan dan penilaian atas pelaksanaan kebijakan pimpinan serta pengawasan sistem informasi akuntansi dan keuangan lainnya.
RUANG LINGKUP KONTROL INTERNAL
Ruang lingkup menurut Guy (2002:410), ruang lingkup audit internal meliputi pemeriksaan dan evaluasi yang memadai serta efektifitas sistem pengendalian internal organisasi dan kualitas kinerja dalam melaksanakan tanggungjawab yang dibebankan.
Ruang lingkup audit internal menurut The Institute of Internal auditors (IIA) yang dikutip oleh Boynton et al (2001:983) “The scope of audit internal should encompass of the adequacy and effectiveness the organizations system of performance in carrying out assigned responsibilities; (1) reability and integrying of information; (2) compliance with policies, plans, procedures, laws, regulations and contacts; (3) safeguarding of assets; (4) economical and efficient use of resources; (5) accomplishment of established objectives and goals for operations programs”. (Ruang lingkup audit internal harus mencakup kecukupan dan efektivitas sistem kinerja organisasi dalam melaksanakan tanggung jawab yang ditugaskan; (1) keandalan dan menyokong informasi; (2) sesuai dengan kebijakan, rencana, prosedur, hukum, peraturan dan kontak; (3) pengamanan aktiva; (4) penggunaan sumber daya yang ekonomis dan efisien; (5) tercapainya target yang ditetapkan dan tujuan program operasi).
Menurut Hiro Tugiman (2001:17), lingkup pekerjaan pemeriksaan internal harus meliputi pengujian dan evaluasi terhadap kecukupan serta efektivitas sistem pengendalian internal yang dimiliki organisasi dan kualitas pelaksanaan tanggung jawab yang diberikan.
SISTEM KONTROL INTERNAL
Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.
B. CONTROL OBJECTIVES
sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.
CONTROL RISK
isk control adalah metode pengendalian risiko yang tidak melibatkan uang/dana. Metode ini terdiri dari 3 tahapan, yaitu sebelum, pada saat, dan sesudah terjadi kontak dengan kerugian. Di sini kejadian-kejadian yang mengakibatkan kerugian keuangan diupayakan untuk dikurangi kemungkinan terjadinya dan besarnya kerugian keuangan yang terjadi diminimalkan.
Ada 5 cara (metode) dalam pengendalian risiko:
1. Risk Avoidance (Penghindaran Risiko)
Dengan metode ini, risiko dihindari dengan cara meninggalkan atau tidak pernah melakukan kegiatan apa pun yang memiliki risiko. Hal ini dilakukan dengan mempertimbangkan potensi keuntungan dan kerugian yang dapat diakibatkan oleh suatu aktifitas. Contohnya: Tidak bepergian ke tempat rawan bencana seperti Jepang dan tidak melakukan olahraga berbahaya jika tidak ingin cidera.
2. Segregation (Pemisahan Risiko) and Diversification (Pembagian Risiko)
Segregation dilakukan dengan memisahkan orang-orang atau benda-benda yang dapat menjadi penyebab kerugian. Diversifikasi dilakukan dengan memperbanyak aset atau aktifitas pada lokasi yang berbeda. Contohnya: Menempatkan uang pada beberapa sarana investasi yang berbeda daripada menempatkan ssemuanya dalam satu sarana investasi. Selain itu, dapat juga memilih untuk bepergian dengan kendaraan terpisah daripada semua keluarga inti berada dalam satu kendaraan.
3. Loss Prevention (Pencegahan Kerugian)
Metode ini dilakukan untuk mencegah dampak kerugian. Contohnya, dengan meningkatkan langkah-langkah keamanan untuk mengurangi kemungkinan kebakaran dengan memasang alarm kebakaran. Selain itu, bisa juga dengan melakukan langkah-langkah pengurangan risiko sakit dengan hidup sehat dan mencegah dampak kecelakaan bermotor dengan mengenakan helm saat mengendarai motor.
4. Loss Reduction (Pengurangan Kerugian)
Metode ini dilakukan dengan mengurangi dampak kerugian atau pun kerusakan yang dihasilkan oleh suatu risiko. Contohnya, dengan menggunakan sabuk pengaman untuk mengurangi kemungkinan terjadinya cidera dalam kecelakaan lalu lintas dan mengurangi dampak kebakaran dengan pemadam kebakaran otomatis.
5. Non-insurance Transfer (Pemindahan Non-asuransi)
Dengan metode ini, risiko dialihkan tanpa menggunakan asuransi. Contohnya, dengan mendirikan sebuah peusahaan bisnis untuk mengalihkan risiko menanggung kerugian dan mengambil kontrak sewa yang lebih panjang untuk menghindari harga sewa yang meningkat.
C. MANAGEMENT CONTROL FRAMEWORK
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.
APPLICATION CONTROL FRAMEWORK
Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.
CORPORATE IT GOVERNANCE
Kumpulan kebijakan, proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.
4.) Aspek Management Control Framework :
- Defining, creating, redefining, retiring data (dengan wawancara, observasi)
- Membuat database tersedia untuk semua user
- Menginformasikan dan melayani user
- Memelihara integritas data
- Monitoring operations
1.) TABEL PERBANDINGAN +/- STANDAR AUDIT SI
2.) A. KONSEP DASAR KONTROL
Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”.
Audit sistem informasi dilakukan untuk dapat menilai:
a. apakah sistem komputerisasi suatu organisasi/perusahaan dapat mendukung pengamanan aset.
b. apakah sistem komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan.
c. apakah sistem komputerisasi tersebut efektif, efisien dan data integrity terjamin.
B. PRINSIP-PRINSIP DASAR PROSES AUDIT SI
· Audit dititikberatkan pada objek audit yang mempunyai peluang untuk diperbaiki
· Prasyarat Penilaian terhadap kegiatan objek audit
· Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif
· Identifikasi individu yang bertanggungjawab terhadap kekurangan-kekurangan yang terjadi.
· Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab
· Pelanggaran hokum
· Penyelidikan dan pencegahan kecurangan
C. STANDAR DAN PANDUAN AUDIT SI
Standar Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggung jawab profesinya.
3.) A. KONTROL INTERNAL
Melalui Statement of Auditing Standar (SAS), AICPA mendefinisikan Internal Control sama dengan definisi COSO, yaitu suatu proses yang dipengaruhi oleh aktivitas Dewan Komisaris, Manajemen dan Pegawai, yang dirancang untuk memberikan keyakinan yang wajar atas (a) keandalan pelaporan keuangan, (b) efektivitas dan efisiensi operasi, dan (c) ketaatan terhadap hukum dan peraturan yang berlaku. Berbeda dengan definisi pertama yang hanya mengaitkan pengendalian hanya dengan perencanaan, metode dan pengukuran, pada definisi berikutnya terkait dengan “proses yang dipengaruhi oleh aktivitas seluruh komponen organisasi”. Definisi ini mengandung makna yang lebih luas dari definisi sebelumnya.
Dalam teori akuntansi dan organisasi, pengendalian intern atau internal control didefinisikan sebagai suatu proses, yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi, yang dirancang untuk membantu organisasi mencapai suatu tujuan atau objektif tertentu. Pengendalian intern merupakan suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi. Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud) dan melindungi sumber daya organisasi baik yang berwujud (seperti mesin dan lahan) maupun tidak (seperti reputasi atau hak kekayaan intelektual seperti merek dagang).
Untuk menjaga agar sistem internal control ini benar-benar dapat dilaksanakan, maka sangat diperlukan adanya internal auditor atau bagian pemeriksaan intern. Fungsi pemeriksaan ini merupakan upaya tindakan pencegahan, penemuan penyimpangan-penyimpangan melalui pembinaan dan pemantauan internal control secara berkesinambungan. Bagian ini harus membuat suatu program yang sistematis dengan mengadakan observasi langsung, pemeriksaan dan penilaian atas pelaksanaan kebijakan pimpinan serta pengawasan sistem informasi akuntansi dan keuangan lainnya.
RUANG LINGKUP KONTROL INTERNAL
Ruang lingkup menurut Guy (2002:410), ruang lingkup audit internal meliputi pemeriksaan dan evaluasi yang memadai serta efektifitas sistem pengendalian internal organisasi dan kualitas kinerja dalam melaksanakan tanggungjawab yang dibebankan.
Ruang lingkup audit internal menurut The Institute of Internal auditors (IIA) yang dikutip oleh Boynton et al (2001:983) “The scope of audit internal should encompass of the adequacy and effectiveness the organizations system of performance in carrying out assigned responsibilities; (1) reability and integrying of information; (2) compliance with policies, plans, procedures, laws, regulations and contacts; (3) safeguarding of assets; (4) economical and efficient use of resources; (5) accomplishment of established objectives and goals for operations programs”. (Ruang lingkup audit internal harus mencakup kecukupan dan efektivitas sistem kinerja organisasi dalam melaksanakan tanggung jawab yang ditugaskan; (1) keandalan dan menyokong informasi; (2) sesuai dengan kebijakan, rencana, prosedur, hukum, peraturan dan kontak; (3) pengamanan aktiva; (4) penggunaan sumber daya yang ekonomis dan efisien; (5) tercapainya target yang ditetapkan dan tujuan program operasi).
Menurut Hiro Tugiman (2001:17), lingkup pekerjaan pemeriksaan internal harus meliputi pengujian dan evaluasi terhadap kecukupan serta efektivitas sistem pengendalian internal yang dimiliki organisasi dan kualitas pelaksanaan tanggung jawab yang diberikan.
SISTEM KONTROL INTERNAL
Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.
B. CONTROL OBJECTIVES
sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.
CONTROL RISK
isk control adalah metode pengendalian risiko yang tidak melibatkan uang/dana. Metode ini terdiri dari 3 tahapan, yaitu sebelum, pada saat, dan sesudah terjadi kontak dengan kerugian. Di sini kejadian-kejadian yang mengakibatkan kerugian keuangan diupayakan untuk dikurangi kemungkinan terjadinya dan besarnya kerugian keuangan yang terjadi diminimalkan.
Ada 5 cara (metode) dalam pengendalian risiko:
1. Risk Avoidance (Penghindaran Risiko)
Dengan metode ini, risiko dihindari dengan cara meninggalkan atau tidak pernah melakukan kegiatan apa pun yang memiliki risiko. Hal ini dilakukan dengan mempertimbangkan potensi keuntungan dan kerugian yang dapat diakibatkan oleh suatu aktifitas. Contohnya: Tidak bepergian ke tempat rawan bencana seperti Jepang dan tidak melakukan olahraga berbahaya jika tidak ingin cidera.
2. Segregation (Pemisahan Risiko) and Diversification (Pembagian Risiko)
Segregation dilakukan dengan memisahkan orang-orang atau benda-benda yang dapat menjadi penyebab kerugian. Diversifikasi dilakukan dengan memperbanyak aset atau aktifitas pada lokasi yang berbeda. Contohnya: Menempatkan uang pada beberapa sarana investasi yang berbeda daripada menempatkan ssemuanya dalam satu sarana investasi. Selain itu, dapat juga memilih untuk bepergian dengan kendaraan terpisah daripada semua keluarga inti berada dalam satu kendaraan.
3. Loss Prevention (Pencegahan Kerugian)
Metode ini dilakukan untuk mencegah dampak kerugian. Contohnya, dengan meningkatkan langkah-langkah keamanan untuk mengurangi kemungkinan kebakaran dengan memasang alarm kebakaran. Selain itu, bisa juga dengan melakukan langkah-langkah pengurangan risiko sakit dengan hidup sehat dan mencegah dampak kecelakaan bermotor dengan mengenakan helm saat mengendarai motor.
4. Loss Reduction (Pengurangan Kerugian)
Metode ini dilakukan dengan mengurangi dampak kerugian atau pun kerusakan yang dihasilkan oleh suatu risiko. Contohnya, dengan menggunakan sabuk pengaman untuk mengurangi kemungkinan terjadinya cidera dalam kecelakaan lalu lintas dan mengurangi dampak kebakaran dengan pemadam kebakaran otomatis.
5. Non-insurance Transfer (Pemindahan Non-asuransi)
Dengan metode ini, risiko dialihkan tanpa menggunakan asuransi. Contohnya, dengan mendirikan sebuah peusahaan bisnis untuk mengalihkan risiko menanggung kerugian dan mengambil kontrak sewa yang lebih panjang untuk menghindari harga sewa yang meningkat.
C. MANAGEMENT CONTROL FRAMEWORK
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.
APPLICATION CONTROL FRAMEWORK
Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.
CORPORATE IT GOVERNANCE
Kumpulan kebijakan, proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.
4.) Aspek Management Control Framework :
- Defining, creating, redefining, retiring data (dengan wawancara, observasi)
- Membuat database tersedia untuk semua user
- Menginformasikan dan melayani user
- Memelihara integritas data
- Monitoring operations
