AUDIT SISTEM INFORMASI
Definisi Audit menurut Mulyadi, “Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi dengan tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasilnya kepada pemakai yang berkepentingan”.Audit adalah sebuah kegiatan evaluasi, yang berhubungan dengan data dan masalah yang nantinya akan keluar dan disampaikan langsung dalam bentuk rekomendasi yang sifat nya itu bersifat saran dan disampaikan langsung oleh pihak yang berwenang.
>>Tugas Audit
1. Mengevaluasi, memonitoring
2. Memberikan saran
3. Memberikan solusi
4. Tidak berhak merubah sistem, tetapi hanya berhak merekomendasikan. Jika ingin dirubah harus ada izin terlebih dahulu kepada pihak yang berwenang. Yang berhak merubah yaitu pihak manajemen.
>> Tahapan Audit
1. Perencanaan (planning)
- Menetapkan ruang lingkup dan tujuan audit
- Mengorganisasikan tim audit
- Memahami tentang oprasi bisnis klien
- Mengkaji ulang semua hasil audit sebelumnya
2. 2. Pemeriksaan lapangan (field work)
Yaitu pengumpulan informasi dengan cara mengumpulkan data dengan pihak – pihak yang terkait.
3. Penindaklanjutan
Memberikan laporan hasil audit dalam bentuk rekomendasi tindakan perbaikan kepada pihak manajemen objek yangditeliti, untuk kemudian wewenang perbaikan menjadi tanggung jawab manajemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuan untuk perbaikan di masa yang akan datang.
3. 4.Pemberian Rekomendasi
Setelah pengumpulan data maka akan diperoleh data yang akan diproses untuk di hitung berdasarkan perhitungan maturity level.
1. Memberikan Efektivitas (Memudahkan sebuah perusahaan untuk mencari masalah)
2. Melakukan Pelaksanaan yang efisiensi
3. Pendukung, seperti perangkat keras dan perangkat lunak dll
4. Integritas data, data yang ada disistem tersebut harus sesuai (terintegrasi) agar audit terlaksana dengan baik.
>> Faktor yang perlu diperhatikan ketika melakukan audit
1. Kriteria yang digunakan sebagai panduan untuk mengevaluasi (harus mempertimbangkan metode Cobit 4.0, ISO, ITIL)
2. Periode waktu dan ruang lingkup yang diaudit harus jelas
3. Data, bahan bukti dalam jumlah dan kualitas yang cukup
4. Bersifat independen, tidak bisa dipengaruhi, harus tetap, dan tidak berubah-ubah
>> Metode dalam audit
1. Cobit 4.0 (Untuk mendukung tujuan perusahaan dan mengoptimalkan investasi bisnis pada IT)
COBIT (Control Objectives for Information and related Technology) adalah suatu panduan standar praktek manajemen teknologi informasi dan sekumpulan dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor, manajemen, dan pengguna untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan pengendalian, dan permasalahan-permasalahan teknis.
2. ISO (untuk perusahaan dalam skala besar)
International Organization for Standardization (ISO) adalah badan standar dunia yang dibentuk untuk meningkatkan perdagangan internasional yang berkaitan dengan perubahan barang dan jasa. ISO bertujuan untuk mengharmonisasi standar-standar nasional di masing-masing negara menjadi satu standar internasional yang sama.
3. ITIL(Information Technology Infrastructure Library)
Information Technology Infrastructure Library (ITIL) adalah suatu rangkaian konsep dan teknik pengelolaan infrastruktur, pengembangan, serta pengoperasian teknologi informasi. ITIL memberikan deskripsi detail tentang beberapa taktik TI dengan daftar cek, tugas, serta prosedur menyeluruh yang dapat disesuaikan dengan segala jenis organisasi TI.
>>Jenis Audit
1. Audit Internal audit yang dilakukan dari dalam perusahaan, tetapi dari bidang lain dan tidak terlibat langsung dengan perusahaan yang akan diaudit.2. Audit Eksternal audit yang dilakukan dari luar perusahaan
>>Tipe Audit
1. Audit Laporan Keuangan
Audit laporan keuangan adalah audit yang dilakukan oleh auditor independen terhadap laporan keuangan yang disajikan oleh kliennya untuk menyatakan pendapat mengenai kewajaran laporan keuangan tersebut.dlam audit laporan keuangan ini, auditor independen menilai kewajaran laporan keuangan atas dasar kesesuaiannya dengan prinsip akutansi berterima umum. Hasil auditing terhadap laporan keuangan tersebut disajikan dalam bentuk tertulis berupa laporan audit, laporan audit ini dibagikan kepada para pemakai informasi keuangan seperti pemegang saham, kreditur dan kantor pelayanan pajak.
a. Dilakukan oleh auditor ektern/intern
b. Dilakukan terhadap laporan keuangan(boleh mengaudit di satu bagian saja)
c. Hasil audit dibagikan kepada pihak luar perusahaan, seperti kreditor, pemegang saham dan kantor layanan pajak
d. Bertujuan untuk memeriksa kesesuaian dengan kriteria-kriteria yang telah ditetapkan
2. Audit Kepatuhan/aturan/prosedur didalam suatu organisasi atau perusahaan
a. Dilakukan oleh auditor ekstern/intern
b. Untuk memastikan apakah SDM didalamnya sudah mematuhi peraturan/tidak
c. Untuk menentukan apakah sesuai dengan kondisi, peraturan dan UU tertentu
3. Audit Operasional (kegiatan yang berhubungan dengan infrastruktur)
a. Berkaitan dengan SDM, visi misi, yang ingin dicapai oleh organisasi/perusahaan tsb
b. Bertujuan untuk menilai kinerja dan memberikan rekomendasi untuk perbaikan
4. Perencanaan Audit
1. Tujuan audit
2. Kewenangan auditor
3. Adanya persetujuan managemen tinggi
4. Metode audit
>>Metodologi Audit
a. Audit subject, menentukan apa yang akan diaudit
b. Audit objective, menentukan tujuan dari audit
c. Audit scope, menentukan sistem fungsi dan bagian dari organisasi secara spesifik atau khusus yang akan diaudit
d. Preaudit planning, mengidentifikasi sumber daya dan SDM yang dibutuhkan seperti dokumen, lokasi audit dll
e. Audit procedures, menentukan cara melakukan audit dan menentukan siapa yang akan diwawancara
f. Evaluasi hasil pengujian
g. Prosedur komunikasi dengan pihak manajemen
h. Audit report preparation
>>Isi Laporan Audit
1. Pendahuluan
a. Tujuan dan ruang lingkup
b. Lamanya audit
c. Prosedur audit
2. Kesimpulan umum dari auditor
3. Hasil audit, (apa yang ditemukan selama mengaudit, apakah prosedur dan kontrol layak atau tidak)
4. Rekomendasi, tanggapan dari manajemen (bila perlu)
5. Exit interview
>>4 syarat membangun sebuah perusahaan atau organisasi
1. Pemimpin
2. Struktur Organisasi
3. Visi misi
4. Tujuan
>>Proses audit
1. Identifikasi dan dokumentasi (mengecek secara langsung dan membuktikannya dalam bentuk dokumentasi)
2. Evaluasi (memastikan batasan yang sering terjadi diperusahaan tersebut)
3. Uji kesesuaian
4. Uji substansial
>>Menentukan Ruang Lingkup Audit
• Investigasi, analisis, dan mendefinisikan:
1. Proses bisnis yang diamati
2. Platform dan sistem informasi yang mendukung proses bisnis tersebut dan keterkaitan dengan platform atau sistem lain
3. Peranan dan tanggung jawab IT, apa yang keluar dan apa yang masuk
4. Menghubungkan resiko bisnis dengan pilihan strategi
• Identifikasi Kebutuhan Informasi
1. Identifikasi semua resiko yang berakibatkan oleh IT dan semua tingkatan kontrol yang diperlukan
2. Perubahan pada lingkungan bisnis yang berdampak terhadap IT
3. Perubahan pada lingkungan IT, pengembangan sistem baru, dsb
4. Kejadian terakhir yang berhubungan dengan kontrol dan lingkungan bisnis
5. Laporan sertifikasi audit terakhir
6. Hasil terakhir dari self assessment
>>Model Proses Kontrol
1. Menentukan Standar
2. Menilai keadaan yang berjalan
3. Membandingkan dengan standar
4. Jika ada penyimpangan, melakukan tindakan korektif
Tujuan pelaksanaan audit efektivitas atau audit program adalah untuk:
1. Menilai tujuan program, baik yang baru maupun yang sudah berjalan,apakah sudah memadai dan tepat;
2. Menentukan tingkat pencapaian hasil suatu program yang diinginkan;
3. Menilai efektivitas program dan atau unsur-unsur program secara terpisah;
4. Mengidentifikasikan faktor yang menghambat pelaksanaan kinerja yang baik dan memuaskan;
5. Menentukan apakah manajemen telah mempertimbangkan alternatif untuk melaksanakan program yang mungkin dapat memberikan hasil yang yang lebih baik dengan biaya yang lebih rendah;
6. Menentukan apakah program tersebut saling melengkapi, tumpang tindih atau bertentangan dengan program lain yang terkait;
7. Mengidentifikasi cara untuk dapat melaksanakan program tersebut dengan lebih baik;
8. Menilai ketaatan terhadap peraturan perundang-undangan yang berlaku untuk program tersebut;
9. Menilai apakah sistem pengendalian manajemen sudah cukup memadai untuk mengukur, melaporkan, dan memantau tingkat efektivitas program;
10. Menentukan apakah manajemen telah melaporkan ukuran yang sah dan dapat dipertanggungjawabkan mengenai efektivitas program.
10. Menentukan apakah manajemen telah melaporkan ukuran yang sah dan dapat dipertanggungjawabkan mengenai efektivitas program.
Untuk mengukur efektivitas suatu kegiatan harus didasarkan pada kriteria yang telah ditetapkan sebelumnya. Jika hal ini belum tersedia, auditor bekerjasama dengan manajemen dan badan pembuat keputusan untuk menghasilkan kriteria tersebut dengan berpedoman pada pelaksanaan suatu program. Beberapa alternatif yang dapat digunakan untuk mengevaluasi pelaksanaan suatu program yaitu:
a). Proksi untuk mengukur dampak/pengaruhj;
b). Evaluasi oleh konsumen;
c). Evaluasi yang menitik beratkan pada proses bukan pada hasil.
Hal yang perlu dipertimbangkan dalam pelaksanaan evaluasi suatu program:
· Apakah ada pengaruh dari program tersebut;
· Apakah program tersebut relevan atau realistic;
· Apakah program telah mencapai tujuan yang telah ditetapkan;
· Dan apakah ada cara-cara yang lebih baik dalam mencapai hasil.
Value for money audit secara umum mempunyai tiga kategori kegiatan yaitu:
Value for money audit secara umum mempunyai tiga kategori kegiatan yaitu:
1) “by product”VFM work,
2) An”Arrangement Review”
3) Performance Review.
Syarat yang harus dipenuhi dalam audit kinerja yatu:
1. Auditor (orang/lembaga yang melakukan audit), auditee (pihak yang diaudit), recipient (pihak yang menerima hasil audit)
2. Hubungan akuntabilitas antara auditee dan audit recipient
3. Independensi antara auditor dan auditee
4. Pengujian dan evaluasi tertentu atas aktivitas yang menjadi tanggung jawab auditee oleh auditor untuk audit recipient.
Auditor sering disebut sebagai pihak pertama dan pemegang peran utama dalam pelaksanan audit kinerja karena auditor dapat mengakses informasi keuangan dan informasi manajemen dari organisasi yang diaudit, memiliki kemampuan profesional dan bersifat independen. Pihak auditee biasanya terdiri dari manajemen atau pekerja suatu organisasi yang bertanggung jawab kepada recipient dan biasa disebut pihak kedua. Recipent merupakan pihak-pihak yang menerima laporan dan biasa disebut pihak ketiga yang terdiri dari beberapa kelompok yaitu: tingkatan yang lebih tinggi dalam organisasi yang sama, dewan komisaris, stockholder, masyarakat, dan investor.
Efektivitas adalah ukuran berhasil tidaknya suatu organisasi mencapai tujuannya. Apabila suatu organisasi berhasil mencapai tujuan maka organisasi tersebut dikatakan telah berjalan dengan efektif. Hal terpenting yang perlu dicatat adalah bahwa efektivitas tidak menyatakan tentang berapa besar biaya yang telah dikeluarkan untuk mencapai tujuan tersebut. Biaya boleh jadi melebihi apa yang telah dianggarkan, boleh jadi dua kali lebih besar atau bahkan tiga kali lebih besar daripada yang telah dianggarkan. Efektivitas hanya melihat apakah suatu program atau kegiatan telah mencapai tujuan yang telah ditetapkan.
Menentukan ruang lingkup audit
1. Investigasi, analisis, dan mendefinisikan :
- Proses bisnos yang diamati
- Platform dan sistem informasi yang mendukung proses bisnis tersebut dan keterkitan dengan platform /sistem lain.
- Peranan dan tanggung jawab IT, apa yang keluar dan masuk.
- Menghubungkan resiko bisnis dengan pilihan strategi.
Identitas kebutuhan IT
Meliputi:
1. Perubahan pada lingkungan bisnis yang berdampak terhadap IT.
2. Perubahan pada lingkungan IT, pengembangan sistem baru.
3. Kejadian terakhir yang berhubungan dengan kontrol dan lingkungan bisnis.
4. Laporan/sertifikasi audit terakhir.
5. Hasil terakhir dari selfassessment.
IT GOVERNANCE
Tata kelola/it governance adalah struktur keterhubungan, proses, sumber daya dan informasi yang mengarahkan dan mengendalikan perusahaan untuk mencapai tujuan.IT Governance merupakan suatu bagian terintegrasi dari kepengurusan perusahaan yang mencakup kepemimpinan dan struktur serta proses organisasi yang memastikan bahwa IT perusahaan mendukung dan memperluas strategi dan tujuan perusahaan.
Tujuan
1. Mengurangi resiko pengambilan keputusan
2. Menyesuaikan TI dengan sasaran bisnis (menyesuaikan kebutuhan sesuai dengan perkembangan zaman).
3. Memperkuat IT sebagai unit bisnis utama (teknologi dari sebuah perusahaan)
4. Operasi bisnis lebih transparan.
5. Meningkatkan efektivitas dan efisiensi (memudahkan dan memberikan rekomendasi yang tepat)
Fokus tatakelola IT
1. Strategi alignment
2. Value delivery
3. Risk management
4. Resource management
5. Performance measurement
3 jenis mekanisme untuk tatakelola yang efektif
1. Struktur pembuat keputusan
2. Proses penyelarasan
3. Pendekatan komunikasi seperti kotak saran untuk menyampaikan aspirasinya(bisa melalui wawancara atau kuisioner)
Struktur Pembuat Keputusan
1. Unit orgaisasi dengan peran dan tanggung jawab untuk membuat keputusan TI
2. Komite
3. Team eksekutif
4. Manajer bisnis/TI
Proses pendekatan komunikasi
1. Observasi (melihat langsung)
2. Wawancara (komunikasi langsung)
3. Angket atau quisioner (pertanyaan)
4. Study literatur (data-data yang ada diperusahaan tersebut)
MODEL PENGELOLAAN IT
IT Monarchy Seseorang atau sekelompok eksekutif TI pemimpin unit bisnis/pemilik proses.
Feudal Pemimpin bisnis , pemilik proses kunci atau yang mewakilinya
Federal Kerjasama antara sekelompok kepala eksekutif (CxOS) dan bisnis, termasuk eksekutif TI.
IT Duopoly Sekelompok eksekutif IT dan kelompok lainnya(pemimpin unit bisnis/proses bisnis).
Anarchy Setiap pengguna individual.
PELAKU UTAMA
Proses penyelarasan
1. Proses formal menjamin perilaku yang konsisten dengan kebijakan TI
2. Proses proposal dan evaluasi investasi
3. Proses arsitektur perkecualian
4. Service-level agreement
Pendekatan Komunikasi
Adalah pendekatan yang berupa nasihat, pemberitahuan, lisan, saluran, dan usaha pembelajaran yang menyebarkan prinsip dan kebijakan tatakelola IT serta dampak proses pembuatan keputusan.
Pendekatan Temuan
Fokus utama ditekankan pada jenis kesalahan (loses) yang terjadi didalam suatu sistem informasi. Setelah itu ditentukan kendali (control) yang dapat digunakan untuk mengurangi kesalahan tersebut sampai pada batas yang dapat diterima.
(fokus pada masalah yang sering terjadi diperusahaan tersebut baik didalam kondisi lapangan, manajemen,SDM dll).
Pendekatan Kendali
Fokusnya kendali-kendali didalam suatu sistem informasi yang dapat digunakan untuk mengurangi kesalahan sampai pada level yang dapat diterima. (untuk memastikan solusi yang diberikan pihak auditor dan berlaku dalam jangka waktu yang panjang).
Scope (batasan)
Tujuan agar audit dapat dilakukan dalam kurun waktu yang singkat dan sesuai dengan tujuan.
1. Investigasi, analisis, dan mendefinisikan
• Proses bisnis yang diamati
• Platform atau program kerja dan sistem informasi yang mendukung proses bisnis tersebut serta keterkaitan dengan platform atau sistem lain
• Peranan dan tanggung jawab IT, apa yang keluar dan apa yang masuk
• Menghubungkan resiko bisnis dengan pilihan strategi untuk melakukan introspeksi perusahaan dan tujuannya untuk mengevaluasi perusahaan dan diberikan rekomendasi
2. Identifikasi kebutuhan informasi
• Perubahan pada lingkungan bisnis yang berdampak tahap IT
• Perubahan pada lingkungan IT, perkembangan sistem baru
• Kejadian yang berhubungan dengan kontrol dan lingkungan bisnis
• Kontrol monitor IT yang diterapkan oleh manajemen
• Laporan atau sertifikasi audit terakhir
• Hasil akhir yang nantinya masuk dalam pengakuan perusahaan
COBIT
COBIT adalah sebuah standar pengelolaan teknologi informasi atau IT governance yang dikeluarkan oleh ISACA.
Konsep dasar dari kerangka kerja COBIT adalah bahwa kontrol terhadap sistem informas dapat dilakukan dengan cara menentukan informasi-informasi yang dibutuhkan untuk mendukung objektif bisnis. Informasi yang dikontrol adalah informasi tentang semua sumber saya yang terkait dalam proses-proses sistem informasi.
Kubus COBIT
1. Isu enterprise governance
2. Investasi IT Optimal?
3. Mengendalikan sumberdaya IT, Mengelola sumberdaya IT dengan baik
4. Dapat digabungkan dengan metode audit lain
5. Dapat dimodifikasi sesuai keadaan
6. Meningkatkan audit terintegrasi
Manfaat
1. Manajemen, menyeimbangkan resiko dan pengendalian investasi
2. User, mendapatkan jaminan keamanan dan kontrol layanan IT
3. Auditor, membantu meyakinkan pihak manajemen tentang pentingnya kontrol terhadap sumber daya IT
Pihak yang Terlibat
1. Manajemen, pembuat kebijakan IT, steering committee IT
2. User, chief operating officer, front-liner
3. Fungi-fungsi lain yang bertanggung jawab terhadap IT
YouTube : ruang kampus.ID dengan
lecturer : Ochi Marshella Febriani,S.Kom.,M.T.I
link video : https://www.youtube.com/watch?v=Kmyqo4ndY2M
https://www.youtube.com/watch?v=Kmyqo4ndY2M
