• Tidak ada hasil yang ditemukan

Tahapan Audit Sistem Informasi

Dalam dokumen BAB 2 LANDASAN TEORI (Halaman 27-38)

2.6 Pengertian Audit Sistem Informasi

2.6.3 Tahapan Audit Sistem Informasi

Menurut Weber (1999, p47-55), ada 5 tahap audit sistem informasi, yaitu:

1. Planning the Audit (Perencanaan Audit)

Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini berarti melakukan investigasi terhadap klien untuk mengetahui apakah penugasan audit (audit engagement) dapat diterima, menempatkan staf audit, mendapatkan surat penugasan, mendapatkan informasi mengenai latar belakang klien, memahami informasi mengenai kewajiban hukum klien dan melakukan analisa terhadap prosedur yang ada untuk memahami bisnis klien dan

mengidentifikasi area-area yang berisiko. Pada tahap ini auditor juga harus memahami pengendalian intern organisasi lalu menentukan tingkat resiko pengendalian yang berhubungan dengan setiap segmen audit.

2. Tests of Controls (Pengujian Pengendalian)

Auditor melakukan test of controls ketika mereka menilai bahwa tingkat resiko pengendalian berada pada level kurang dari maksimum (pengendalian masih dapat dipercaya). Test of controls diarahkan kepada efektifitas pengendalian intern perusahaan, baik dalam rancangan maupun operasinya (pelaksanaannya). Tahap ini diawali dengan fokus pada pengendalian manajemen (management controls), jika pengendalian manajemen dinilai beroperasi secara tidak handal, maka auditor hanya akan melakukan sedikit pengujian pada pengendalian aplikasi (application controls). Namun jika auditor menemukan kelemahan yang serius pada pengendalian manajemen maka auditor akan memberikan opini tidak wajar (adverse opinion) terhadap pengendalian yang ada di dalam perusahaan atau melakukan pengujian substantif (substantive test) atas transaksi dan pengujian keseimbangan dan hasil keseluruhan (balances or overall result). Jika auditor menyatakan pengendalian manajemen beroperasi secara memadai, maka auditor akan melakukan evaluasi terhadap keandalan pengendalian aplikasi dengan menelusuri jenis-jenis materialitas dari transaksi melalui masing-masing pengendalian yang dijalankan pada subsistem pengendalian aplikasi.

3. Tests of Transaction (Pengujian Transaksi)

Auditor menggunakan test ini untuk mengevaluasi apakah kesalahan-kesalahan atau pemrosesan yang keliru terhadap transaksi telah mengarah pada

kesalahan yang material pada pernyataan laporan keuangan. Tes pembuktian ini mencakup penelusuran terhadap jurnal hingga ke dokumen sumbernya, menguji kebenaran file, menguji akurasi perhitungan. Jika hasil tes transaksi mengindikasikan terjadi kehilangan atau kesalahan pencatatan yang material maka auditor dapat mengembangkan tingkat pengujiannya dengan melakukan test of balances or overall result untuk mendapatkan estimasi yang lebih baik terhadap kehilangan/ kesalahan pencatatan.

4. Tests of Balances or Overall Results

Auditor melakukan tes ini untuk memperoleh bukti yang cukup dalam membuat penilaian akhir (final judgment) mengenai tingkat kehilangan atau kesalahan pencatatan yang terjadi ketika fungsi sistem informasi gagal melindungi aset, memelihara integritas data, mencapai efektifitas dan efisiensi sistem informasi.

5. Completion of the Audit

Tahap ini merupakan tahap akhir dari tahapan audit sistem informasi. Pada tahap ini auditor merumuskan opininya terhadap kehilangan material dan kesalahan pencatatan yang terjadi sekaligus membuat rekomendasi untuk manajemen yang nantinya disajikan pada laporan audit.

Adapun jenis-jenis opini yang berlaku umum adalah : a. Unqualified Opinion (Wajar Tanpa Pengecualian)

Auditor menyatakan bahwa laporan keuangan disajikan secara wajar. b. Qualified Opinion (Wajar Dengan Pengecualian)

Auditor menyatakan bahwa laporan keuangan disajikan secara wajar, kecuali pada pos tertentu.

c. Adverse Opinion (Pendapat Tidak Wajar)

Auditor merasa yakin bahwa keseluruhan laporan keuangan yang disajikan memuat salah saji yang material atau menyesatkan sehingga tidak menyajikan secara wajar posisi keuangan perusahaan sesuai dengan prinsip akuntansi berlaku umum.

d. Disclaimer of Opinion (Tidak Memberikan Pendapat)

Auditor menolak memberikan pendapat dikarenakan beberapa kondisi antara lain: pembatasan lingkup audit, hubungan yang tidak independen antara auditor dan klien, dsb.

Standar Audit

Menurut Gondodiyoto dan Hendarti (2007, p197-198), standar audit yang termuat dalam standar profesional akuntan publik (Ikatan Akuntasi Indonesia, 2001) terdiri dari standar umum, standar pekerjaan lapangan dan standar pelaporan:

1. Standar Umum

a. Audit harus dilaksanakan oleh seseorang atau lebih yang memiliki keahlian dan pelatihan teknis cukup sebagai auditor.

b. Dalam semua hal yang berhubungan dengan penugasan, independensi sikap mental harus dipertahankan oleh auditor.

c. Dalam pelaksaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan seksama.

2. Standar Pekerjaan Lapangan

a. Pekerjaan harus dilaksanankan sebaik-baiknya dan jika digunakan asisten harus disupervisi dengan semestinya.

b. Pemahaman yang memadai atas struktur pengendalian intern harus diperoleh untuk merencanakan audit dan menentukan sifat, saat dan lingkup pengujian yang harus dilakukan.

c. Bukti audit yang kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, pengajuan pertanyaan dan konfirmasi sebagai dasar yang memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit.

3. Standar pelaporan

a. Laporan audit harus menyatakan apakah laporan keuangan telah disusun dengan prinsip akuntansi yang berlaku umum.

b. Laporan audit harus menunjukkan keadaan yang ada didalamnya prinsip akuntansi tidak secara konsisten diterapkan dalam penyusunan laporan keuangan periode berjalan dalam hubungannya dengan prinsip akuntansi yang diterapkan dalam periode sebelumnya.

c. Pengungkapan informatif dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan lain dalam laporan audit.

Standard ISACA

Keahlian dan keterampilan minimal yang harus dilakukan agar dapat memenuhi persyaratan kompetensi profesional minimal dalam melaksanakan

tugas audit diatur dalam standar professional. Adapun standard audit sistem informasi disusun oleh Information Systems Audit and Control Association (ISACA).

Alasan Perlunya Standar Audit SI

1. Audit SI memerlukan standar, karena Audit SI memiliki ciri-ciri khas dan untuk dapat melaksanakan tugas itu dibutuhkan pengetahuan dan keterampilan khusus dalam audit SI.

2. Salah satu tujuan ISACA ialah melakukan globalisasi (menduniakan) standar audit SI, oleh karena itu pengembangan dan distribusi standar Audit SI adalah merupakan salah satu konstribusi penting ISACA kepada komunitas/profesi audit SI.

S1 Audit Chapter (per 1 Januari 2005)

Perlunya dibuat Audit Charter atau Letter of Engagement dalam penugasan audit sistem informasi.

Hal yang diatur tentang perlunya audit charter bagi audit internal (atau letter of engagement untuk auditor eksternal), mencakup Responsibility, Authority and Accountability, yaitu meliputi tanggung jawab, otoritas dan accountability dari fungsi audit sistem informasi pada suatu organisasi (perlu didokumentasikan dalam suatu surat keputusan pimpinan atau perjanjian).

a. Professional independence

Dalam permasalahan yang berkaitan dengan audit, auditor sistem informasi harus bersikap independen dalam tingkah laku dan tindakannya.

Auditor atau Unit/Fungsi Audit harus mempunyai posisi independen terhadap pihak-pihak yang berkaitan dalam audit (untuk menjaga agar tidak terjadi conflict of interest).

b. Organiational Relationship

Fungsi audit sistem informasi harus berada independen dari area yang diaudit untuk mencapai tujuan obyektivitas dari suatu proses audit.

S3 Professional Ethics and Standards (per 1 Januari 2005)

Audit harus selalu mempedomani profesional ethics dan standards.

a. Code of Professional Ethics

Auditor dari sistem informsi harus menghormati dan menaati etika profesional dari Information System Audit and Control Association.

b. Due Professional Care

Standard auditing profesional harus diterapkan dalam segala aspek dalam pekerjaan yang dilakukan oleh auditor sistem informasi.

Auditor harus memiliki kompetensi yang dibutuhkan untuk melaksanakan tugasnya. Auditor sistem informasi harus memaintain kompetensi teknikal melalui pendidikan profesional berkelanjutan (Continuing Professional Education).

S5 Audit Planning (per 1 Januari 2005)

Auditor sistem informasi harus merencanakan kegiatan audit, agar tujuan audit tercapai sesuai standar profesional audit. Perencanaan audit (audit planning) diperlukan dalam tiap pelaksaan suatu penugasan audit.

S6 Performance of Audit Work (per 1 Januari 2005) a. Supervision

Staf dari audit sistem informasi harus tepat untuk dapat menjamin tujuan dari audit dijalankan dan standar profesional auditing dapat terpenuhi.

b. Evidence

Selama masa pekerjaan audit auditor sistem informasi harus mendapatkan bukti yang tepat, dapat dipercaya, relevan, dan berguna untuk mencapai tujuan objectif dari suatu audit. S7 Reporting (per 1 Januari 2005)

Report Content and Form, auditor sistem informasi harus menyediakan report dalam bentuk yang tepat pada saat penyelesaian tugas audit. Laporan Audit berupa lingkup, tujuan, periode, audit, dan lingkungan dimana audit dijalankan. Laporan audit harus mengindetifikasikan permasalahan yang terjadi dalam

jangka waktu audit. Laporan audit juga untuk memberikan rekomendasi dari layanan atau kualifikasi yang diberikan auditor terhadap tugas audit yang dijalankan.

S8 Follow Up Activities (per 1 Januari 2005)

Tindak-lanjut atas rekomendasi temuan audit, auditor sistem informasi harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu dan rekomendasi yang dihasilkan pada periode audit terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu periode waktu. S9 Irregularities of Audit Work (per 1 September 2005)

Hal-hal yang berkaitan dengan ketidakwajaran dan penyimpangan (irregularities and illegal acts).

S10 IT Governance (per 1 September 2005)

Hal-hal yang berkaitan dengan tata kelola teknologi informasi pada suatu organisasi/perusahaan, agar TI dikelola secara efektif, efisien, ekonomis, terjamin integrity, security, availability, realibility, dan continuity.

S11 Use of Risks Assessment in Audit Planning (per 1 Nopember 2005) Teknik-teknik penaksiran risiko dalam perencanaan audit.

S12 Audit Materaility (per 1 Juli 2006)

Konsep materailitas dalam audit (khusus audit sistem informasi). S13 Using the Work of Other expert (per 1 Juli 2006)

Penggunaan hasil audit lain (expert lainnya) dalam pelaksanaan audit.

S14 Audit Evidence (per 1 Juli 2006)

Hal-hal yang berkaitan dengan bukti audit.

Selain kode etik dan standar, auditor wajib mengikuti panduan (guideliness) dan pedoman prosedur audit (procedures) yang dikeluarkan ISACA. Jadi selain kode etik, aturan ISACA terdiri dari beberapa level: Information Systems Auditing Standards, Guidelines, dan Procedures. Information Systems Auditing Guidelines (ISACA, 2007) antara lain terdiri dari :

1. Pelaksanaan tugas audit bila menggunakan bahan bukti yang berasal dari pekerjaan auditor atau ahli lainnya.

2. Bahan bukti audit.

3. Penggunaan alat bantu software audit (computer assisted audit techniques).

4. Pemeriksaan pada sistem informasi yang dioutsourcing ke organisasi lain.

5. Hal-hal yang berkaitan dengan audit charter/letter of engagement. 6. Konsep materialist.

7. Pelaksanaan tugas dengan penuh kehati-hatian (seksama). 8. Dokumentasi dalam audit.

9. Pertimbangan-pertimbangan yang berkaitan dengan irregulatities. 10. Audit sampling.

11. Dampak pervasive IS controls (kontrol internal yang tersebar). 12. Keterkaitan dan Independensi.

13. Penaksiran risiko dalam perencanaan (program) audit. 14. Review sistem aplikasi.

15. Planning dalam Audit.

16. Dampak organization’s IT controls oleh pihak ketiga. 17. Independensi dan peranan auditor dalam bidang non-audit. 18. Tatakelola TI (IT Governance).

19. Irregularities dan illegal acts. 20. Reporting.

21. Enterprise resources planning (ERP). 22. Review terhadap B2C e-Commerce. 23. Review Pengembangan Sistem Aplikasi. 24. Internet Banking.

25. Review terhadap Virtual Private Network.

26. Review terhadap Business Process Reengineering (BPR). 27. Mobile Computing.

28. Computer Forensic.

29. Post Implementation Review. 30. Kompetensi.

31. Privacy.

32. Review Business Continuity Plan dari Perspektif TI. 33. General Considerations on Using Internet.

34. Responsibility, authority, and accountability. 35. Follow-up Activities.

Sedangkan Informations Systems Auditing Procedures berisi prosedur untuk :

1. IS Risks Assessment. 2. Digital Signatures. 3. Intrusion Detection.

4. Viruses and Other Malicious Code. 5. Control Risks Self-assessment. 6. Firewalls.

7. Irregularities and Illegal Acts.

8. Security Assessment – PenetrationTesting and Vulnerability Analysis. 9. Evaluation of Management Controls Over Encryption Methodologies. 10. Business Application Change Control.

11. Electronics Fund Transfer (EFT).

Dalam dokumen BAB 2 LANDASAN TEORI (Halaman 27-38)
Unduh sekarang "BAB 2 LANDASAN TEORI"

Garis besar

Dokumen terkait