Apa itu Audit Sistem Informasi / Teknologi Informasi ?

Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi
bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi
sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.

Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan audit sistem informasi
(teknologi informasi). Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi,
mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta
menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relatif baru ditemukan dibanding
audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis.

Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan
menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta
aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data,
dan data file. Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional
Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral
Science.

Tahapan-tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya. Meliputi
tahapan perencanaan, yang  menghasilkan suatu program audit yang didesain sedemikian rupa,
sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang
kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini
penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek
resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit
program. Selanjutnya adalah pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan
mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan
tindakan perbaikan dari auditee. Terakhir adalah membuat laporan audit.

Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik
termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila
diperlukan). Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis (data
dalam bentuk file softcopy).  Dalam proses pengumpulan bukti ini ada beberapa cara yang sering
dipakai yaitu, audit around computer, audit trought computer dan audit with computer. Jika tingkat
pemakaian TI tinggi maka audit yang dominan digunakan adalah audit with computer atau yang biasa
disebut dengan teknik audit berbantuan computer atau  menggunakan CAAT (Computer Aided
Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi
penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain. Tentunya untuk
aspek sekuriti adakalanya auditor dituntut mempunyai keahlian teknis yang cukup memadai untuk
menguji keamanan sistem.

Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh
ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance
dan IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines
memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan
audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan
audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan
judgement profesional ketika menggunakanguidance dan procedure.

Standar yang aplicable untuk audit TI adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2. Audit
Independent, S3. Profesional Ethic and standard, S4.Profesional competence, S5. Planning, S6.
Performance of Audit Work, S7. Reporting. S8.Follow-Up Activity, F9. Irregularities and Irregular Act,
S10. IT Governance dan S11. Use of Risk Assestment in Audit Planning. IS Auditing Guideline terdiri

1
dari 32guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting. IS Audit
Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam
penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment,
mengetes intrution detection system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan
audit keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional Akuntan Publik
(SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa
yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu Cobit.

COBIT (Control Objective for Information Related Tecnology)

COBIT (Control Objective for Information Related Tecnology) adalah kerangka tata kelola TI (IT
governance) yang ditujukan kepada manajemen, staf pelayanan TI, control departemen, fungsi audit
dan lebih penting lagi bagi pemilik proses bisnis (business process owner’s), untuk
memastikan confidenciality, integrity andavailability data serta informasi sensitif dan kritikal. COBIT
didesign terdiri dari 34high level control objectives yang menggambarkan proses TI yang terdiri dari 4
domain yaitu: Plan and Organise, Acquire and Implement, Deliver and Support dan Monitor and
Evaluate. Dengan melakukan kontrol terhadap ke 34 objektif tersebut, organisasi dapat memperoleh
keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI. Untuk
mendukung IT process tersebut tersedia lagi sekitar 215 tujuan control yang lebih detil untuk
menjamin kelengkapan dan efektifitas implementasi. Saat ini sudah terbit Cobit 4.1.

The COBIT Framework juga memasukkan hal berikut Maturity Models – Untuk memetakan status
maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the
Industry” dan juga International best practices.Critical Success Factors (CSFs) – Arahan implementasi
bagi manajemen agar dapat melakukan kontrol atas proses TI. Key Goal Indicators (KGIs) – Kinerja
proses-proses TI sehubungan dengan kebutuhan bisnis dan Key Performance Indicators (KPIs) –
Kinerja proses-proses TI sehubungan dengan process goals

COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information
Technology (IT) security and control practices . Istilah ”generally applicable and accepted ” digunakan
secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).
Suatu perencanaan audit TI dapat dimulai dengan menentukan area-area yang relevan dan berisiko
paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan
tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari
proses-proses tersebut.

Hasil Audit? Siapa yang Melakukan Audit?

Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem
berdasarkan kriteria tertentu. Kemudian berdasarkan pengujian Auditor akan memberikan
rekomendasi perbaikan yang diperlukan. Adakalanya judgement diperlukan berdasarkan kriteria yang
disepakati bersama. Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem,
bukan di tangan auditor. Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut
perbaikan bagi manajemen.

Siapakah sebaiknya yang melakukan audit sistem informasi? Audit sistem informasi dapat dilakukan
sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini
publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga
(auditor independent) untuk melakukannya. Di AS hasil audit sistem informasi terhadap bank harus
dipublikasikan kepada publik. Dengan demikian pengguna jasa, nasabah mengetahui kondisi layanan
sistem informasi pada bank tersebut. Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu
perangkat hukum yang mengatur tata cara pelaporan tersebut.

Sumber: http://idrianita.wordpress.com/2007/04/27/audit-siti/

2
Tahap-tahap Management Audit

Pendekatan management audit harus mengikuti langkah-langkah dasar tertentu utk tiap pekerjaan
meskipun mungkin tujuan dari pemeriksaan tersebut akan bermacam-macam. Berikut adl langkah-
langkah tersebut menurut Hamilton (1986:5) :

1. Definisi ruang lingkup pekerjaan. Management audit bisa dilakukan dalam lingkup yg
umum dan audit akan meliputi suatu penilaian terinci atas tiap-tiap aspek operasional
organisasi. Management audit juga bisa dilakukan atas suatu masalah tertentu utk mencari
bukti-bukti yg menjadi penyebab serta merekomendasikan tindakan koreksi tertentu.
2. Perencanaan persiapan dan organisasi Ketika suatu lingkup pekerjaan sudah ditentukan
tim audit akan membuat suatu tindakan perencanaan atas pelaksaanaan pekerjaan.
Perencanaan meliputi langkah-langkah yang  harus dilakukan dan estimasi waktu yg
diperlukan utk mencapai tiap tahap pekerjaan. Tiap sumber bukti yg berkaitan dgn area yg
diperiksa  harus dianalisa secara mendalam dan terus diperbaharui.
3. Pengumpulan fakta dan dokumentasi informasi terbaru Pada tahap ini dilakukan
pengumpulan informasi data yg berkaitan dgn area lingkup pekerjaan yg ditentukan. Data bisa
diperoleh dari surat menyurat kebijakan dan prosedur serta semua informasi informal lain yg
bisa diperoleh secara langsung dari karyawan lewat wawancara.
4. Riset dan analisa Tahap ini merupakan tahap yg paling penting dalam proses management
audit. Pada tahap ini dilakukan pengumpulan bukti dan fakta-fakta yg dianggap penting dalam
mendukung laporan akhir yg akan diserahkan kepada top manajemen.
5. Laporan Tahap ini meliputi ringkasan atas pekerjaan yg dilakukan gambaran mengenai ruang
lingkup pekerjaan rincian mengenai temuan-temuan utama dan diskusi mengenai alternatif-
alternatif yg dapat digunakan top manajemen utk mengurangi permasalahan yg ada.

Berikut adl tahapan dalam management audit menurut Leo herbert yg dikutip oleh Agoes (1996:176)
yaitu:

1. Prelimenary Survey (Survei Pendahuluan) Tujuan dari survey pendahuluan adl utk
mendapatkan informasi umum dan latar belakang dalam waktu yg relatif singkat mengenai
semua aspek organisasi kegiatan program atau sistem yg dipertimbangkan utk diperiksa agar
dapat diperoleh pengetahuan atau gambaran yg memadai mengenai objek pemeriksaan.
2. Review and Testing of Management Control System (Penelaahan dan Pengujian atas
Sistem Pengendalian Manajemen) Tahap ini dimaksudkan utk mendapatkan bukti-bukti
mengenai ketiga elemen dari tentative audit objective (tujuan pemeriksaan sementara) yaitu
criteria causes dan effects dgn melakukan pengetesan terhadap transaksi-transaksi
perusahaan yg berkaitan dgn sistem pengendalian manajemen dan utk memastikan bahwa
bukti-bukti yg diperoleh dari perusahaan adl kompeten jikaaudit diperluas dalam detailed
examination (pengujian terinci). Criteria merupakan standar yg harus dipatuhi oleh tiap
bagian dalam perusahaan causes adl tindakan-tindakan yg menyimpang dari standar yg
berlaku dan effects adl akibat dari tindakan-tindakan menyimpang dari standar yg berlaku.
3. Detailed Examination (Pengujian Terinci) Pada tahap ini auditor harus mengumpulkan bukti-
bukti yg cukup kompeten material dan relevan utk dapat menentukan tindakan-tindakan apa
saja yg dilakukan manajemen dan pegawai perusahaan yg merupakan penyimpangan-
penyimpangan terhadap criteria dalam firm audit objective (tujuan pemeriksaan yg pasti) dan
bagaimana effects dari penyimpangan-penyimpangan tersebut dan besar kecil effects tersebut
yg menimbulkan kerugian bagi perusahaan.
4. Report Development (Pengembangan Laporan) Temuan audit harus dilengkapi dgn
kesimpulan dan saran dan harus direview oleh audit manager sebelum didiskusikan dgn
auditee. Komentar dari auditee mengenai apa yg disajikan dalam konsep laporan harus
diperoleh (sebaik secara tertulis).

Pendekatan management audit harus mengikuti langkah-langkah dasar tertentu utk tiap pekerjaan
meskipun mungkin tujuan dari pemeriksaan tersebut akan bermacam-macam. Berikut adl langkah-
langkah tersebut menurut Hamilton (1986:5) :

3
 1. Definisi ruang lingkup pekerjaan. Management audit bisa dilakukan dalam lingkup yg
umum dan audit akan meliputi suatu penilaian terinci atas tiap-tiap aspek operasional
organisasi. Management audit juga bisa dilakukan atas suatu masalah tertentu utk mencari
bukti-bukti yg menjadi penyebab serta merekomendasikan tindakan koreksi tertentu.
2. Perencanaan persiapan dan organisasi Ketika suatu lingkup pekerjaan sudah ditentukan
tim audit akan membuat suatu tindakan perencanaan atas pelaksaanaan pekerjaan.
Perencanaan meliputi langkah-langkah yang  harus dilakukan dan estimasi waktu yg
diperlukan utk mencapai tiap tahap pekerjaan. Tiap sumber bukti yg berkaitan dgn area yg
diperiksa  harus dianalisa secara mendalam dan terus diperbaharui.
3. Pengumpulan fakta dan dokumentasi informasi terbaru Pada tahap ini dilakukan
pengumpulan informasi data yg berkaitan dgn area lingkup pekerjaan yg ditentukan. Data bisa
diperoleh dari surat menyurat kebijakan dan prosedur serta semua informasi informal lain yg
bisa diperoleh secara langsung dari karyawan lewat wawancara.
4. Riset dan analisa Tahap ini merupakan tahap yg paling penting dalam proses management
audit. Pada tahap ini dilakukan pengumpulan bukti dan fakta-fakta yg dianggap penting dalam
mendukung laporan akhir yg akan diserahkan kepada top manajemen.
5. Laporan Tahap ini meliputi ringkasan atas pekerjaan yg dilakukan gambaran mengenai ruang
lingkup pekerjaan rincian mengenai temuan-temuan utama dan diskusi mengenai alternatif-
alternatif yg dapat digunakan top manajemen utk mengurangi permasalahan yg ada.

Berikut adl tahapan dalam management audit menurut Leo herbert yg dikutip oleh Agoes (1996:176)
yaitu:

1. Prelimenary Survey (Survei Pendahuluan) Tujuan dari survey pendahuluan adl utk
mendapatkan informasi umum dan latar belakang dalam waktu yg relatif singkat mengenai
semua aspek organisasi kegiatan program atau sistem yg dipertimbangkan utk diperiksa agar
dapat diperoleh pengetahuan atau gambaran yg memadai mengenai objek pemeriksaan.
2. Review and Testing of Management Control System (Penelaahan dan Pengujian atas
Sistem Pengendalian Manajemen) Tahap ini dimaksudkan utk mendapatkan bukti-bukti
mengenai ketiga elemen dari tentative audit objective (tujuan pemeriksaan sementara) yaitu
criteria causes dan effects dgn melakukan pengetesan terhadap transaksi-transaksi
perusahaan yg berkaitan dgn sistem pengendalian manajemen dan utk memastikan bahwa
bukti-bukti yg diperoleh dari perusahaan adl kompeten jikaaudit diperluas dalam detailed
examination (pengujian terinci). Criteria merupakan standar yg harus dipatuhi oleh tiap
bagian dalam perusahaan causes adl tindakan-tindakan yg menyimpang dari standar yg
berlaku dan effects adl akibat dari tindakan-tindakan menyimpang dari standar yg berlaku.
3. Detailed Examination (Pengujian Terinci) Pada tahap ini auditor harus mengumpulkan bukti-
bukti yg cukup kompeten material dan relevan utk dapat menentukan tindakan-tindakan apa
saja yg dilakukan manajemen dan pegawai perusahaan yg merupakan penyimpangan-
penyimpangan terhadap criteria dalam firm audit objective (tujuan pemeriksaan yg pasti) dan
bagaimana effects dari penyimpangan-penyimpangan tersebut dan besar kecil effects tersebut
yg menimbulkan kerugian bagi perusahaan.
4. Report Development (Pengembangan Laporan) Temuan audit harus dilengkapi dgn
kesimpulan dan saran dan harus direview oleh audit manager sebelum didiskusikan dgn
auditee. Komentar dari auditee mengenai apa yg disajikan dalam konsep laporan harus
diperoleh (sebaik secara tertulis).