Definisi Audit Teknologi Informasi
Audit Teknologi Informasi atau
Information System Audit disebut juga EDP Audit (Electronc Data Processing
Audit) atau computer audit merupakan suatu proses dikumpulkannya data dan
dievakuasinya bukti untuk menetapkan apakah suatu sistem aplikasi komputerisasi
sudah diterapkan dan menerapkan sistem pengendalian internal yang sudah
sepadan, seluruh aktiva dilindungi dengan baik atau disalahgunakan dan juga
terjamin integritas data, keandalan dan juga efektifitas dan efisiensi
penyelenggaraan informasi berbasis komputer.
Audit sistem informasi
merupakan gabungan dari berbagai macam ilmu, antara lain traditional audit,
manajemen sistem informasi, sistem informasi akuntansi, ilmu komputer, dan
behavioral science. Menurut Ron Weber (2010) audit sistem informasi adalah
proses pengumpulan dan penilaian bukti–bukti untuk menentukan apakah sistem
komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong
pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara
efisien.
Ruang Lingkup Audit
Sistem Informasi
Ruang lingkup Audit
Sistem Informasi (SI) sebagai audit operasional terhadap fungsi sistem
informasi (IT governance), audit objective-nya adalah melakukan assessment
terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem
informasi suatu organisasi.
Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Misalnya, bahwa application software yang ada telah dianalisis dan didesain dengan baik, telah diimplementasikan dengan security features yang memadai.
Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Misalnya, bahwa application software yang ada telah dianalisis dan didesain dengan baik, telah diimplementasikan dengan security features yang memadai.
Perlu dipahami bahwa
audit SI tidak harus selalu merupakan penugasan lengkap mencakup seluruh aspek.
Penugasan audit SI mungkin mencakup semua, tetapi bisa dengan beberapa variasi,
atau beberapa aspek saja: suatu audit mungkin hanya menitikberatkan fokus pada
satu aspek saja, atau beberapa aspek yang penting sesuai kebutuhan organisasi
tersebut.
Meskipun hakekatnya keseluruhan aspek IT Governance tersebut sesungguhnya penting untuk diaudit dalam rangka peningkatan mutu sistem, namun itu tidak bersifat harus (it is not mandatory). Bisa saja dilakukan penugasan-penugasan audit yang berbeda untuk satu atau beberapa aspek, tidak harus sekali “gebrak” (to do all of them in one assignment). Salah satu alasannya adalah memang kompetensi/keterampilan yang diperlukan bagi auditor untuk setiap aspek tersebut bisa berbeda. Oleh karena itu aspek sebetulnya ada keterkaitan, dan semuanya adalah penting, maka bila dilakukan audit secara terpisah-pisah, manajemen harus mendapat gambaran umum (overview) yang jelas dan terpadu (the overview is critical).
Meskipun hakekatnya keseluruhan aspek IT Governance tersebut sesungguhnya penting untuk diaudit dalam rangka peningkatan mutu sistem, namun itu tidak bersifat harus (it is not mandatory). Bisa saja dilakukan penugasan-penugasan audit yang berbeda untuk satu atau beberapa aspek, tidak harus sekali “gebrak” (to do all of them in one assignment). Salah satu alasannya adalah memang kompetensi/keterampilan yang diperlukan bagi auditor untuk setiap aspek tersebut bisa berbeda. Oleh karena itu aspek sebetulnya ada keterkaitan, dan semuanya adalah penting, maka bila dilakukan audit secara terpisah-pisah, manajemen harus mendapat gambaran umum (overview) yang jelas dan terpadu (the overview is critical).
Jadi, terdapat berbagai
jenis penugasan audit sistem informasi yang dapat dilaksanakan pada suatu
organisasi, misalnya sebagai berikut:
- Untuk mengidentifikasi sistem yang ada (inventory existing systems), baik yang ada pada tiap divisi/unit/departemen ataupun yang digunakan menyeluruh.
- Untuk dapat lebih memahami seberapa besar sistem informasi mendukung kebutuhan strategis perusahaan, operasi perusahaan, mendukung kegaitan operasional departemen/unit/divisi, kelompok kerja, maupun para petugas dalam melaksanakan kegiatannya.
- Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan atau business processes yang didukung dengan sistem serta teknologi informasi yang ada.
- Untuk menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh sistem dalam rangka mendukung kebutuhan para pemakainya.
- Untuk mengetahui keterkaitan antara data, sistem pengolahan dan transfer informasi.
- Untuk mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan.
- Untuk membuat peta (map) dari information flows yang ada.
Tujuan Audit Teknologi
Informasi
Internal audit memiliki
tujuan dalam manajemen organisasi/perusahaan. Menurut Hiro Tugiman (2006)
internal audit memiliki tujuan membantu anggota organisasi agar dapat
menjalankan tugas dengan efektif. Dalam aktivitas internal audit berusaha
melakukan analisis dan memberikan berbagai saran dan penilaian. Proses
pemeriksaan audit meliputi pengawasan yang efektif dengan cost yang normal.
Pada pencapaian tujuan
dari internal audit maka auditor harus melakukan beberapa hal sebagai berikut :
- Memastikan terkait peraturan dan prosedur yang harus dipatuhi oleh seluruh elemen manajemen.
- Memberi penilaian baik dan meningkatkan pengawasan efektif dengan biaya sewajarnya serta mengidentifikasi sistem pengendalian yang diterapkan yang meliputi pengendalian internal manajemen dan kegiatan operasional yang berkaitan.
- Memastikan bahwa seluruh aset perusahaan dijaga dengan penuh tanggung jawab dari penyalahgunaan, kehilangan, korupsi dan hal-hal semisal.
- Mengajukan berbagai saran dalam rangka memperbaiki sistem operasional perusahaan agar lebih efektif dan efisien.
- Memberi nilai terkait mutu dan kualitas kerja kepada setiap bagian yang ditunjuk manajemen perusahaan.
- Memastikan bahwa data yang dimiliki dan diolah di dalam perusahaan dapat dipertanggungjawabkan.
Alasan
Audit Teknologi Informasi
Menurut Weber (1999)
terdapat beberapa alasan mendasar mengapa organisasi perlu melakukan audit
sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh
organisasi :
1. Pencegahan
terhadap biaya organisasi untuk data yang hilang
Kehilangan data dapat terjadi karena
ketidakmampuan pengendalian terhadap pemakaian komputer. Kelalaian dengan tidak
menyediakan backup yang memadai terhadap file data, sehingga kehilangan file
dapat terjadi karena program komputer yang rusak, adanya sabotase, atau
kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga
akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.
2. Pengambilan
keputusan yang tidak sesuai
Membuat keputusan yang berkualitas
tergantung pada kualitas data yang akurat dan kualitas dari proses pengambilan
keputusan itu sendiri. Pentingnya data yang akurat bergantung kepada jenis
keputusan yang akan dibuat oleh orang – orang yang berkepentingan di suatu
organisasi.
3. Penyalahgunaan
komputer
Penyalahgunaan komputer memberikan
pengaruh kuat terhadap pengembangan EDP audit maka untuk dapat memahami EDP
audit diperlukan pemahaman yang baik terhadap beberapa kasus penyalahgunaan
komputer yang pernah terjadi.
4. Nilai
dari perangkat keras komputer, perangkat lunak dan personel
Disamping data, hardware dan software
serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu
organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh
asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun
ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan
mengganggu jalannya operasional dan bila software dicuri maka informasi yang
rahasia dapat dijual kepada kompetitor. Personel adalah sumber daya yang paling
berharga, mereka harus dididik dengan baik agar menjadi tenaga handal dibidang
komputer yang profesional.
5. Biaya
yang tinggi untuk kerusakan komputer
Saat ini pemakaian komputer sudah sangat
meluas dan dilakukan juga terhadap fungsi kritis pada kehidupan kita. Kesalahan
yang terjadi pada komputer memberikan implikasi yang luar biasa, sebagai contoh
data error mengakibatkan jatuhnya pesawat di Antartika yang menyebabkan 257
orang meninggal atau seseorang divonis masuk penjara karena kesalahan data di
komputer.
6. Kerahasiaan
Banyak data tentang diri pribadi yang saat
ini dapat diperoleh dengan cepat, dengan adanya komputerisasi kependudukan maka
data mengenai seseorang dapat segera diketahui termasuk hal – hal pribadi.
7. Pengontrolan penggunaan komputer
Teknologi adalah hal yang alami, tidak ada
teknologi yang baik atau buruk. Pengguna teknologi tersebut yang dapat
menentukan apakah teknologi itu akan menjadi baik atau malah menimbulkan
gangguan. Banyak keputusan yang harus diambil untuk mengetahui apakah komputer
digunakan untuk suatu hal yang baik atau buruk.
Dampak Teknologi Informasi dalam proses Audit
Para auditor bertanggung
jawab untuk mendapatkan pemahaman atas pengendalian internal, mereka harus
memiliki pengetahuan mengenai pengendalian umum dan aplikasi, apakah klien
menggunakan aplikasi TI yang sederhana atau yang kompleks. Pengetahuan akan
pengendalian umum meningkatkan kemampuan auditor untuk mengukur dan
mengandalkan pengendalian aplikasi yang efektif untuk mengurangi risiko
pengendalian untuk tujuan audit yang terkait. Bagi auditor perusahaan publik
yang harus menerbitkan opini atas pengendalian intrenal terhadap laporan
keuangan, pengetahuan terhadap umum maupun pengendalian aplikasi merupakan hal
yang penting
REFERENSI
http://maksi.febulm.ac.id/index.php/info-kampus/artikel-paper-jurnal-akuntansi/item/47-audit-sistem-informasi-dan-penggunaannya
