Jumat, 07 Juni 2013

Metodologi Audit IT

            Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.
            Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi  penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
                       
Langkah dasar Audit SI

            Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
  1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
  2. Tetapkan langkah-langkah audit yang rinci.
  3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
  4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
  5. Telaah apakah tujuan audit tercapai.
  6. Sampaikan laporan kepada pihak yang berkepentingan.
  7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.

Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:
1.      Audit subject. Menentukan apa yang akan diaudit.
2.      Audit objective. Menentukan tujuan dari audit.
3.      Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.
4.      Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5.      Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
6.      Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7.      Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
8.      Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
o   Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
o   Kesimpulan umum dari auditor.
o   Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak
o   Rekomendasi. Tanggapan dari manajemen (bila perlu).
o   Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih
 
1.10. Perkembangan Pendekatan Audit Sistem Informasi

Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu (Watne,  1990) :
  1. Auditing Around The Computer. Pendekatan ini merupakan pendekatan yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh perusahaan diperlakukan sebagai Black Box. Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.
  2. Auditing With The Computer. Pendekatan ini digunakan untuk mengotomatisati banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat lunak  Generalized Audit Software, yaitu program audit yang berlaku umum untuk berbagai klien.
  3. Auditing Through The Computer. Pendekatan ini lebih menekankan pada langkah pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang memadai.
 

1.11. Tahap-tahap Audit Sistem Informasi


Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :
1.      Tahap pemeriksaan pendahuluan
2.      Tahap pemeriksaan rinci.
3.      Tahap pengujian kesesuaian.
4.      Tahap pengujian kebenaran bukti.
5.      Tahap penilaian secara umum atas hasil pengujian.


1. Tahap Pemeriksaan Pendahuluan.
 
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit.
                      
2. Tahap Pemeriksaan Rinci.
 
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.
 
3. Tahap Pengujian Kesesuaian.
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri.
.
 

4. Tahap Pengujian Kebenaran  Bukti. 
 
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) :
1.      Mengidentifikasi kesalahan dalam pemrosesan data
2.      Menilai kualitas data
3.      Mengidentifikasi ketidakkonsistenan data
4.      Membandingkan data dengan perhitungan fisik
5.      Konfirmasi data dengan sumber-sumber dari luar perusahaan.

5. Tahap Penilaian Secara Umum atas Hasil Pengujian.

Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan.

Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup : (1) pengendalian umum, (2) pengendalian aplikasi, yang terdiri dari : (a) pengendalian secara manual, (b) pengendalian terhadap output sistem informasi, dan (c) pengendalian yang sudah diprogram.
 
5.1. Pengendalian Umum.
Pemahaman Pengendalian Umum
Pengendalian umum pada perusahaan biasanya dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal, terhadap aset-aset fisik perusahaan, sedangkan aspek logikal biasanya terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya adalah:
Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan organisasi disini adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Disini juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.
Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi juga harus dikendalikan.
Termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi,serta
manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).
5.2.  Pengendalian Aplikasi.
Pemahaman Pengendalian Aplikasi
Pengendalian aplikasi yang dimaksud disini adalah prosedur-prosedur pengendalian yang
didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang
diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik.
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi biasanya bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik.
Macam Aplikasi
Aplikasi yang dimaksud biasanya berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:
1. Perangkat lunak berdiri sendiri. Tipe ini biasanya terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Sebagai contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.
2. Perangkat lunak di server. Tipe ini biasanya terdapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server.
Macam Pengendalian Aplikasi
Pengendalian aplikasi dalam organisasi sendiri biasanya dibagi menjadi beberapa:
1. Organisasi Aplikasi
2. Akses Aplikasi
3. Input
4. Proses
5. Output
6. Master File/Database
Pemahaman atas Pengendalian Organisasi dan Akses Aplikasi
Pada modul ini, kita akan mencoba memahami terlebih dahulu pengendalian aplikasi:
organisasi dan akses. Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, biasanya terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.
Pemahaman atas Pengendalian Input
Modul ini melanjutkan pengendalian akses dari modul 3.0b, yang pertama melihat pada proses
pengendalian input. Inti dari pengendalian input adalah memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi. Beberapa pengendalian input otomatis yang biasa diprogram:
Validation checks
  1. Format checks: sesuai dengan format yang ditentukan
  2. Range and limit checks
  3. Check digits
  4. Validity checks (lookup)
  5. Compatibility checks (data dan turunan)
Duplicate Checks
Membandingkan dengan input transaksi sebelumnya
Matching
Membandingkan (verifikasi) instan pada satu modul dengan instan modul lain yang
terhubungkan, contoh: penerimaan barang dengan tagihan
Pemahaman atas Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master.
Adapun tipe pengendalian proses adalah sebagai berikut:
  1. Run to run control
  2. Pivot totals
  3. Control/Hash totals: non numerical control
  4. Control accounts
  5. Data file control: menghitung instan entitas
  6. Transaction validation control
  7. File reconciliation control
Pemahaman atas Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.
Beberapa tipe pengendalian output:
  1. Ekspektansi output (logs)
  2. Kelengkapan output (misal dengan no halaman)
  3. Pengendalian atas spooled output
  4. Reasonableness
  5. Output rutin
  6. Distribusi output
  7. Orang yang tepat, ditempat yang benar dalam waktu yang reasonable
  8. SQL output
Pemahaman atas Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan
diketemukan anomali-anomali, seperti:

  • Anomaly penambahan
  • Anomaly penghapusan
  • Anomaly pemuktahiran/pembaruan

0 komentar:

Posting Komentar