AUDIT Atas Sistem Informasi Berbasis Teknologi Informasi


AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI INFORMASI
Audit atas sistem berbasis komputer / teknologi informasi memiliki ruang lingkup yang luas. Terdapat beberapa tahapan audit yang harus dilaksanakan dalam melakukan audit sistem berbasis teknologi informasi secara keseluruhan. Tahapan audit yang dilakukan meliputi tahap survey pendahuluan, tahap evaluasi pengendalian sistem (audit sistem informasi), tahap pengujian ketaatan dan tahap pengujian subtantif serta terakhir penyusunan laporan (Wilkinson, 2006). Sedangkan, menurut Romney and Steinbart (2015:337), mendefinisikan audit sistem informasi sebagai :

“An examination of the general and application controls of an IS to assess its compliance with internal control policies and procedures and its effectiveness in safeguarding assets.”

Audit merupakan proses mendapatkan dan mengevaluasi bukti mengenai asersi tentang tindakan ekonomi dan peristiwa dalam rangka untuk menentukan seberapa baik mereka sesuai dengan kriteria yang telah ditetapkan. Dari definisi tersebut, diperoleh empat langkah utama dalam proses audit (Romney and Steinbart, 2015:339), diantaranya yaitu :

1) Perencanaan Audit.
Menyelenggarakan apa yang perlu dilakukan, bagaimana dan siapa yang akan melakukan audit. Hal ini dilakukan dengan terlebih dahulu mengidentifikasi risiko, maka cukup dapat memahami ruang lingkup dan tujuan audit dan apa yang akan diminta untuk melakukan audit. Sebagian besar pekerjaan audit akan fokus pada daerah dengan jumlah tertinggi risiko.
Ada tiga jenis risiko audit, yaitu :
• Risiko yang melekat : risiko masalah kontrol dalam ketiadaan kontrol internal.
• Pengendalian risiko : risiko salah saji material yang akan melewati struktur pengendalian intern.
• Deteksi risiko : risiko bahwa auditor dan prosedur tidak akan mendeteksi salah saji material atau kesalahan.

2) Pengumpulan bukti dapat dilakukan dalam berbagai cara :
• Observasi
• Meninjau dokumentasi
• Wawancara, diskusi, dan kuesioner
• Pemeriksaan fisik (misalnya, jumlah persediaan)
• Konfirmasi dengan pihak ketiga
• Reperforming perhitungan (misalnya, perkiraan seperti penyusutan atau perhitungan beban utang buruk)
• Dokumen pendukung vouching (misalnya, penjualan pesanan pelanggan, dokumen pengiriman, faktur penjualan, pembayaran pelanggan)
• Analytical review (memeriksa tren dan pola baik di dalam organisasi dan industri mereka)

3) Evaluasi bukti melibatkan auditor berkesimpulan bahwa bukti mendukung atau tidak mendukung pernyataan.

4) Komunikasi hasil dalam bentuk laporan tertulis dan sering termasuk rekomendasi kepada manajemen.

Audit sistem informasi menggunakan kerangka berbasis risiko yang memungkinkan auditor untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem untuk memenuhi setiap tujuan tersebut (Romney and Steinbart, 2015:340). Kerangka berbasis risiko dapat diterapkan pada tujuan audit sistem informasi dalam empat bidang kerangka, yaitu :
• Mengidentifikasi penipuan dan kesalahan (ancaman) yang dapat terjadi yang mengancam setiap tujuan
• Identifikasi prosedur pengendalian (mencegah, mendeteksi, memperbaiki ancaman)
• Evaluasi prosedur pengendalian
 Tinjau untuk melihat apakah ada pengendalian dan dalam bagian apa
 Uji kontrol untuk melihat apakah mereka bekerja sebagaimana dimaksud
• Menentukan efek kelemahan pengendalian
 Pengendalian kompensasi

Berikut ini ada beberapa teknik audit yang biasanya digunakan oleh auditor secara bersamaan untuk program pengujian (Romney and Steinbart, 2015:347), diantaranya adalah :
a. Integrated Test Facility (ITF), menyisipkan entitas dummy dalam sistem perusahaan, pengolahan transaksi tes untuk memperbarui mereka tidak akan mempengaruhi catatan sebenarnya.
 Menggunakan input fiktif

b. Snapshot Technique, menandai transaksi dengan kode khusus, merekam dan catatan master file mereka sebelum dan setelah pengolahan, dan menyimpan data untuk kemudian memverifikasi bahwa semua langkah pengolahan dieksekusi dengan baik.
 File induk sebelum dan setelah update disimpan untuk transaksi yang ditandai khusus

c. System Control Audit Review File (SCARF), menggunakan modul audit yang tertanam untuk terus memantau transaksi, mengumpulkan data tentang transaksi dengan signifikansi audit khusus, dan menyimpan data untuk kemudian mengidentifikasi dan menyelidiki transaksi yang dipertanyakan.
 Pemantauan terus menerus dan penyimpanan transaksi yang memenuhi pra-spesifikasi

d. Audit Hooks, rutinitas audit yang memberitahukan auditor terkait transaksi yang dipertanyakan tersebut.
 Memberitahukan auditor terkait transaksi yang diragukan.

e. Continuous and Intermittent Simulation, penyematan modul audit DBMS yang menggunakan kriteria tertentu untuk memeriksa semua transaksi yang update database.
 Sama halnya dengan SCARF untuk DBMS.

ANALISIS PROGRAM LOGIC. Jika auditor menduga bahwa program berisi kode yang tidak sah atau kesalahan serius, analisis rinci dari logika program mungkin diperlukan. Ini memakan waktu dan memerlukan kemahiran dalam bahasa pemrograman yang sesuai, sehingga harus digunakan sebagai upaya terakhir. Auditor menganalisis pengembangan, operasi, dan dokumentasi program serta hasil cetakan dari kode sumber. Mereka juga menggunakan paket perangkat lunak berikut (Romney dan Steinbart, 2015: 348) :
• Automated flowcharting program, perangkat lunak yang menafsirkan kode sumber program dan menghasilkan flowchart logika program.
• Automated decision table program, perangkat lunak yang menafsirkan kode sumber program dan menghasilkan tabel keputusan logika program.
• Scanning routines, software yang akan mencari program untuk terjadinya item tertentu.
• Mapping programs, software yang mengidentifikasi kode program yang tidak dijalankan.
• Program tracing, berurutan mencetak semua langkah program yang dijalankan, bercampur dengan output, sehingga urutan eksekusi program dapat diamati.

Komputer – dibantu teknik Audit (CAATs) mengacu mengaudit software, sering disebut perangkat lunak audit umum (GAS), yang menggunakan auditor – spesifikasi yang disediakan untuk menghasilkan program yang melakukan fungsi audit, ada dengan mengotomatisasi atau menyederhanakan proses audit. CAATs idealnya cocok untuk memeriksa file data yang besar untuk mengidentifikasi catatan membutuhkan pemeriksaan pemeriksaan lebih lanjut. Menggunakan CAATs, auditor diakses catatan pemungutan pajak selama 4 tahun sebelumnya, mengurutkannya berdasarkan tanggal, menyimpulkan koleksi dari bulan, dan membuat laporan dari koleksi pajak bulanan. Auditor kemudian digunakan CAATs untuk membandingkan setiap catatan pemungutan pajak dengan catatan properti (Romney dan Steinbart, 2015: 350-351).

Untuk menggunakan CAATs, auditor memutuskan tujuan audit, mempelajari file dan database yang akan diaudit, merancang laporan audit, dan menentukan bagaimana untuk menghasilkan mereka. Program CAATs menggunakan spesifikasi untuk menghasilkan program audit. CAATs tidak dapat menggantikan pertimbangan auditor atau membebaskan auditor dari fase lain dari audit.

CAATs sangat berharga bagi perusahaan dengan proses yang kompleks, opertions didistribusikan, volume transaksi yang tinggi, atau berbagai macam aplikasi dan sistem. Berikut ini adalah beberapa kegunaan penting dari CAATs (Romney dan Steinbart, 2015: 352) :
• Query file data untuk mengambil pertemuan catatan kriteria yang ditentukan.
• Menciptakan, memperbarui, membandingkan, download, dan penggabungan file.
• Meringkas data, menyortir, dan penyaringan.
• Mengakses data dalam format yang berbeda dan mengkonversi data ke dalam format yang umum.
• Meneliti catatan untuk kualitas, kelengkapan, konsistensi, dan kebenaran.
• Stratifikasi catatan, memilih dan menganalisa sampel statistik.
• Pengujian untuk risiko spesifik dan mengidentifikasi bagaimana untuk mengendalikan risiko itu.
• Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya.
• Melakukan tes analitis, seperti rasio dan analisis kecenderungan, mencari pola data yang tidak terduga atau dijelaskan yang mungkin mengindikasikan penipuan.
• Mengidentifikasi kebocoran keuangan, kebijakan non kepatuhan, dan kesalahan pengolahan data.
• Merekonsiliasi jumlah fisik untuk jumlah yang dihitung, pengujian akurasi ulama ekstensi dan saldo, pengujian untuk duplikat item.
• Format dan pencetakan laporan dan dokumen.
• Membuat kertas kerja elektronik.

Anda mungkin juga berminat
Comments
Loading...