Audit teknologi informasi (information
technology (IT) audit atau information systems (IS) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur teknologi informasi secara
menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan
audit finansial dan audit internal, atau dengan kegiatan pengawasan dan
evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan
data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan dan
evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah
lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset
sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif
dalam mencapai target organisasinya. (Wikipedia, Audit teknologi informasi, 2017) [1]
Ada pula
beberapa hal yang mencakup tentang Audit teknologi informasi, seperti ruang
lingkup, jenis control, tujuan, dan kerjasama. Dibawah ini merupakan penjelasan
dari beberapa hal tersebut diantaranya:
Ruang lingkup mencakup audit terhadap sistem informasi penjualan, yang
diawli pada bagian marketing penerimaan order hingga pembuatan laporan
penjualan. Sedangkan pengendalian prosedur dan pelaksanaan sistem informasi
dibagi menjadi dua bagian yakni: (Pengetahuan, 2017) [2]
Ruang lingkup yang termasuk dalam pengendalian umum (pengendalian perspektif
manajemen) diantaranya adalah :
Ø Pengendalian
manajemen puncak(top managementcontrols).
Ø Pengendalian
manajemen pengembangan sistem (informa5on system managementcontrols).
Ø Pengendalian
manajemen sumber data (data resources managementcontrols).
Ø Pengendalian
manajemen operasi (opera5ons management controls).
Ø Pengendalian
manajemen keamanan (security administra5on managementcontrols).
Ø Pengendalian
manajemen jaminan kualitas (quality assurance managementcontrols).
Pengendalian umum juga dapat diartikan sebagai pengendalian yang tidak
terkait langsung ke suatu aplikasi tertentu. Misalnya dalam contoh ATM,
ketentuan bahwa masuk ke ruang ATM tidak boleh memakai helm. Adanya CCTV di
ruang ATM dan ketentuan adanya SATPAM di situ adalah dapat dikategorikan dengan
pengendalian umum (ketentuan--ketentuan tersebut tidak langsung dengan
transaksi pengambilan uang di mesin ATM).
Dari beberapa pengendalian umum tersebut, berdasarkan ruang lingkup dari
penulisan skripsi, maka yang akan dibahas adalah :
Ø Pengendalian
Manajemen Keamanan (Security Management Controls)
Ø Pengendalian
Manajemen Operasi (Operasional Management Controls)
Menurut Ruppel (2008, hal. 537--538) application controls help ensure the
completeness and accuracy of transac5on processing, authoriza5on, and validity
edit checks, numerical sequence checks, and manual follow up of the excep5on
report are example of application controls.
Pengendalian aplikasi (appliaction controls) adalah system pengendalian
intern (internal control) pada sistem informasi berbasis teknologi informasi
yang berkaitan dengan pekerjaan/kegiatan/aplikasi tertentu (setiap aplikasi memiliki
karakteristik dan kebutuhan pengendalianyang berbeda). Pengendalian aplikasi
disebut juga pengendalian transaksi, karena didesain berkaitan dengan transaks
pada aplikasi tertentu.
Misalnya apabila nasabah akan mengambil uang di ATM, setelah memasukkan
kartu akan dimina PIN, atau setelah memasukkan nilai uang yang akan diambil,
ATM akan mengecek sapakah saldo cukup, atau jumlahnya di ijinkan sesuai dengan
mengecek apakah saldo cukup, atau jumlahnya diijinkan sesuai dengan ketentuan
bank. Pengendalian berupa PIN dan limit pengambilan uang tersebut hanya berlaku
di ATM, Adak berlaku di kegiatan lain.
Terdapat beberapa unsur dalam pengendalian aplikasi, pengendalian
aplikasi pada dasarnya terdiri dari :
Ø Pengendalian
batas sistem (boundary controls)
Ø Pengendalian
masukan (input controls)
Ø Pengendalian
proses pengolahan data (process controls)
Ø Pengendalian
keluaran (output controls)
Ø Pengendalian
file/database (file/database controls)
Ø Pengendalian
komunikasi aplikasi (communication controls)
Namun yang akan dibahas dalam penulisan skripsi meliputi boundary controls, input controls, output
controls. (Musbahniar, 2020) [3]
Ø Preventif
Control adalah suatu langkah pencegahan yang diambil sebelum keadaan darurat,
kehilangan, atau masalah terjadi. Ini termasuk penggunaan alarm dan kunci,
pemisahan tugas (untuk mencegah perekam uang tunai dari kas dan mengendalikan
persediaan personil dari pengendalian persediaan) ditambah umum lainnya dan
kebijakan-kebijakan otorisasi khusus.
Ø Detective
control adalah sesuatu yang dirancang untuk menemukan kesalahan atau
penyimpangan setelah mereka telah terjadi (missalnya : departemen memeriksa
tagihan telepon untuk panggilan pribadi).
Ø Corrective
control adalah program yang dibuat khusus untuk memperbaiki kesalahan pada data
yang mungkin timbul akibat gangguan pada jaringan, komputer ataupun kesalahan
user. (Syulamri, 2017) [4]
Audit sistem informasi dapat digolongkan dalam tipe atau jenis-jenis
audit sebagai berikut.
a. Audit
Laporan Keuangan (Financial Statement Audit)
Adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan
keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi
keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi
organisasi yang diaudit merupakan sistem akuntansi berbasis komputer, maka
dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme
sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan
data telah substantif.
b. Audit
Operasional (Operational Audit)
Audit terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:
1) Post implementation Audit (Audit setelah implementasi), Auditor
memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan
pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya
(efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor
mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena
sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi
dan bahkan perlu dihentikan.
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.
Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.
2) Concurrent audit (audit secara bersama), Auditor
menjadi anggota dalam tim pengembangan sistem (system development team). Mereka
membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh
para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam
hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality
assurance.
3) Concurrent Audits (audit secara bersama-sama),
Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi
komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan
sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer
telah dikelola dan dioperasikan dengan baik.
Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan
dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang
sudah diimplementasikan pada perusahaan tersebut secara keseluruhan. Saat
melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan
rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan
efektifitas, efisiensi, dan ekonomisnya sistem. (Riadi, 2014)
[5]
Secara umum, fungsi/tujuan dari kontrol adalah untuk menekan kerugian
yang mungkin timbul akibat kejadian yang tidak diharapkan yang mungkin terjadi
pada sebuah sistem. (Syulamri, 2017) [6]
Tujuan audit sistem informasi menurut Ron Weber (1999:11-13) secara garis
besar terbagi menjadi empat tahap, yaitu:
a. Pengamanan
Aset
Aset informasi suatu perusahaan seperti perangkat keras (hardware),
perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh
suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan
aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal
yang sangat penting yang harus dipenuhi oleh perusahaan.
b. Menjaga
integritas data
Integritas data (data integrity) adalah salah satu konsep dasar
sistem inforamasi. Data memeiliki atribut-atribut tertentu seperti:
kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak
terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan
yang beanr bahkan perusahaan dapat menderita kerugian.
c. Efektifitas
Sistem
Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam
proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif
bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
d. Efisiensi
Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak
lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi
sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat
dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan
sumber daya informasi yang minimal.
e. Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit)
yang lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber
daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat
pertimbangan ekonomi. (Riadi, 2014)
[7]
Akuntan publik adalah akuntan yang telah memperoleh izin dari menteri
keuangan untuk memberikan jasa akuntan publik di sebuah negara. Auditor Independen atau Akuntan Publik
adalah melakukan fungsi pengauditan atas laporan keuangan yang diterbitkan oleh
perusahaan. Pengauditan ini dilakukan pada perusahaan terbuka, yaitu perusahaan
yang go public, perusahaan-perusahaan besar dan juga perusahaan kecil serta
organisasi-organisasi yang tidak bertujuan mencari laba. Praktik akuntan publik
harus dilakukan melalui suatu Kantor Akuntan Publik (KAP).
Prinsif dasar dari audit di ambil dari Asosiasi Auditor Intern Pemerintah
Indonesia (AAIPI) yang menerbitkan prinsip etika berupa: integritas,
objektivitas, kerahasiaan, kompetensi, akuntabel, dan perilaku profesional.
Prinsip tersebut menjadi suatu kewajiban yang harus dipatuhi oleh seorang
auditor. (Wikipedia, Auditor, 2020) [8]
Sedangkan beberapa hal yang dapat menciptakan terjalinnya kerjasama dari
kedua jenis auditor ini adalah tingkat pemahaman dari masing-masing
auditor internal dan auditor eksternal itu sendiri. Kompetensi dari kedua jenis
auditor, pemberian maksud tujuan audit dari auditor eksternal kepada auditor
internal, serta pelaporan langsung kepada auditor internal dan obyektivitas
dari internal auditor
Apabila dari hasil evaluasi eksternal auditor dapat
menggunakan pekerjaan auditor internal, maka mereka diharuskan
menentukan bagian mana pekerjaan internal auditor yang bisa
digunakan. Untuk itu, eksternal auditor juga harus mempertimbangkan relevansi
audit internal, tujuan dan kompetensi auditor internal, pengujian efektivitas
dari audit internal, strategi dan rencana audit, utamanya dalam mempertimbangkanpenggunaan
judgement , menilai risiko salah saji merancang prosedur, serta
bukti yang perlu dikumpulkan, agar pekerjaan auditorinternal dan auditor
eksternal dapat mendukung opini audit.Dalam hal auditor eksternal menggunakan
pekerjaan auditor internal, maka langkahyang akan diambil adalah
mendiskusikannya dengan auditor internal untuk koordinasi lebih lanjut.
Membaca laporan internal audit yang berkaitan dengan pekerjaan audit yang
akan digunakan untuk mendapatkan pemahaman sifat dan luasnya prosedur yang
telahdilakukan, beserta temuan-temuan yang terkait. Auditor eksternal
juga akan menilai apakah pekerjaan auditor internal telah
direncanakan, diawasi, review, dan didokumentasikan dengan baik. Penilaian juga
akan dilakukan untuk memastikan bahwa bukti yang memadai telah diperoleh untuk
menjadi dasar bagi auditor eksternal menarik kesimpulan yang wajar, serta
kesimpulan-kesimpulan yang dibuat sesuai dengan situasi dan kondisi yang ada. (Danil Cotseurani, 2015) [9]
KESIMPULAN
Audit Sistem Informasi merupakan suatu proses pengumpulan dan
pengevaluasian bukti-bukti yang dilakukan oleh pihak yang independen dan
kompeten untuk mengetahui apakah suatu sistem informasi dan sumber daya
terkait, secara memadai telah dapat digunakan seperti :
Ø Melindungi aset
Ø Menjaga integritas dan ketersediaan
sistem dan data
Ø Menyediakan informasi yang relevan
dan handal
Ø Mencapai tujuan organisasi dengan
efektif
Ø Menggunakan sumber daya dengan
efisien,
Ø Terjalinnya
kerjasama dari kedua jenis auditor