Metode Audit Teknologi Informasi

Definisi umum dari audit adalah melakukan evaluasi terhadap orang, organisasi, sistem, proses, perusahaan, proyek atau produk. Istilah ini paling sering merujuk pada audit di bidang akuntansi, tapi konsep serupa juga ada pada manajemen proyek, manajemen mutu, dan untuk konservasi energi.

Karakteristik dalam kegiatan auditing antara lain:

– Objektif: independen yaitu tidak tergantung pada jenis atau aktivitas organisasi yang diaudit

– Sistematis: terdiri dari tahap demi tahap proses pemeriksaan

– Bukti yang memadai: mengumpulkan, mereview, dan mendokumentasikan kejadian-kejadian

– Kriteria: untuk menghubungkan pemeriksaan dan evaluasi bukti–bukti

Jenis-jenis auditor

Auditor laporan keuangan dapat diklasifikasikan ke dalam:

– Eksternal auditor / auditor wajib adalah Perusahaan akuntan publik independen yang bergerak berdasarkan oleh subjek klien untuk audit, untuk menyatakan pendapat apakah laporan keuangan perusahaan bebas dari salah saji material, apakah karena penipuan atau kesalahan. Untuk perusahaan terbuka, auditor eksternal juga mungkin diperlukan pada pernyataan pendapat atas efektivitas pengendalian internal atas pelaporan keuangan. Auditor eksternal juga dapat bergerak untuk melakukan lainnya yang telah disepakati secara prosedur, terkait atau tidak terkait dengan laporan keuangan. Yang paling penting, bahwa auditor eksternal meskipun terlibat dan dibayar oleh perusahaan yang diaudit, dianggap sebagai auditor independen.

– Auditor internal pengendali internal yang dipekerjakan oleh organisasi yang mereka audit. Auditor internal melakukan berbagai prosedur audit, terutama yang berkaitan dengan prosedur atas efektivitas pengendalian internal perusahaan atas pelaporan keuangan. Karena kebutuhan Bagian 404 dari Sarbanes Oxley Act of 2002 untuk manajemen juga untuk menilai efektivitas pengendalian internal atas pelaporan keuangan (seperti juga diperlukan auditor eksternal), auditor internal ini dimanfaatkan untuk membuat penilaian ini. Meskipun auditor internal tidak dianggap independen perusahaan mereka melakukan prosedur audit, auditor internal perusahaan terbuka wajib melaporkan langsung kepada dewan direksi, atau sub-komite dewan direksi, dan tidak kepada manajemen, sehingga untuk mengurangi risiko bahwa auditor internal akan ditekan untuk menghasilkan penilaian yang menguntungkan.

– Auditor Konsultan adalah tenaga auditor eksternal dikontrak oleh perusahaan untuk melakukan audit sesuai dengan standar audit perusahaan. Ini berbeda dari auditor eksternal, yang mengikuti standar mereka sendiri audit. Tingkat kemerdekaan karena itu suatu tempat antara auditor internal dan auditor eksternal. Konsultan auditor dapat bekerja secara independen, atau sebagai bagian dari tim audit yang meliputi auditor internal. Konsultan auditor digunakan ketika perusahaan tidak memiliki cukup keahlian untuk melakukan audit daerah tertentu, atau hanya untuk pembesaran staf ketika staf yangdibutuhkan tidak tersedia.

– Auditor Kualitas mungkin konsultan atau dipekerjakan oleh organisasi.

Audit dalam Teknologi Informasi

Audit teknologi informasi, atau audit sistem informasi, merupakan pemeriksaan kontrol dalam teknologi Informasi (TI) infrastruktur. Audit TI adalah proses pengumpulan dan penilaian bukti sistem informasi organisasi, praktik, dan operasi. Evaluasi bukti yang diperoleh menentukan jika sistem informasi yang menjaga aset, memelihara integritas data, dan beroperasi secara efektif untuk mencapai tujuan organisasi atau tujuan. Tinjauan ini dapat dilakukan bersamaan dengan audit laporan keuangan, audit internal, atau bentuk lain dari keterlibatan pengesahan.

Audit TI juga dikenal sebagai audit pengolahan data otomatis (ADP: Automated Data Processing) dan audit komputer, sebelumnya disebut audit pengolahan data elektronik (EDP: Electronic Data Processing).

Kegunaan Audit Teknologi Informasi

Audit TI berbeda dari audit laporan keuangan. Tujuan audit keuangan adalah untuk mengevaluasi apakah suatu organisasi adalah mengikuti standar praktik akuntansi, sedangkan tujuan audit TI untuk mengevaluasi pengendalian internal pada sistem desain dan efektifitas. Hal ini tidak terbatas pada efisiensi dan protokol keamanan, proses pembangunan, dan pemerintahan atau pengawasan TI. Tujuannya adalah untuk mengevaluasi kemampuan organisasi untuk melindungi aset informasi dan baik mengeluarkan informasi kepada pihak yang berwenang. Agenda audit TI dapat diringkas oleh pertanyaan-pertanyaan berikut:

– Apakah sistem komputer organisasi akan tersedia untuk bisnis setiap saat ketika diperlukan? (Ketersediaan)

– Apakah informasi dalam sistem hanya dapat diungkapkan kepada pengguna yang sah? (Kerahasiaan)

– Apakah informasi yang disediakan oleh sistem selalu akurat, handal, dan tepat waktu? (Integritas)

Audit TI berfokus pada menentukan risiko yang relevan dengan aset informasi, dan dalam menilai kontrol untuk mengurangi atau mengurangi risiko ini. Dengan menerapkan kontrol, pengaruh risiko dapat diminimalkan, tetapi tidak dapat sepenuhnya menghilangkan semua risiko.

Banyak metode audit dalam teknologi informasi. Ini memungkinkan adanya perbedaan. Beberapa metode tersebut berbeda karena antara lain disebabkan:

– Otomatisasi, yaitu seluruh proses di dalam pemrosesan data elektronik mulai dari input hingga output cenderung secara otomatis, bentuk penggunaan dan jumlah kertas cenderung minimal, bahkan seringkali tidak ada (paperless office) sehingga untuk penelusuran dokumen (tracing) audit berkurang dibandingkan sistem manual yang banyak menggunakan dokumen dan kertas.

– Keterkaitan aktivitas yang berhubungan dengan catatan-catatan yang kurang terjaga.

– Dengan sistem on line mengakibatkan output seringkali tidak tercetak.

– “Audit Arround Computer” yang mengabaikan sistem komputer tetapi yang dilihat atau yang diuji adalah Input dan Output.

– ”Audit Through Computer” menggunakan bantuan komputer (atau software) untuk mengaudit.

Jika pelaksanaan audit di sistem informasi berbasis komputer dilakukan secara konvensional terhadap lingkungan Pemrosesan Data Elektronik seperti dalam sistem manual, maka cenderung tidak menghasilkan hasil yang memuaskan, baik oleh klien maupun auditor sendiri, bahkan cenderung tidak efisien dan tidak terarah.

Untuk itu seringkali dalam proses pengembangan sebuah sisem informasi akuntansi berbasis komputer melibatkan akuntan. Jika akuntan terlibat dalam desain sistem Pemrosesan Data Elektronik sebuah organisasi maka akan memudahkan pengendalian dan penelusuran audit ketika klien tersebut meminta untuk pekerjaan audit.

Ada 2 keuntungan jika seorang akuntan terlibat dalam disain sistem informasi dalam lingkungan pemrosesan data elektronik, yaitu

– Meminimalisasi biaya modifikasi sistem setelah implementasi.

– Mengurangi pengujian selama proses audit.

Tahapan Proses Audit

Dalam melaksanakan tugasnya, auditor yang akan melakukan proses audit di lingkungan PDE mempunyai 4 tahapan audit sebagai berikut:
1. Perencanaan Audit (Audit Planning).

Tujuan perencanaan audit adalah untuk menentukan why, how, when dan by whom sebuah audit akan dilaksanakan. Aktivitas perencanaan audit meliputi:

– Penetapan ruang lingkup dan tujuan audit
– Pengorganisasian tim audit
– Pemahaman mengenai operasi bisnis klien
– Kaji ulang hasil audit sebelumnya (jika ada)
– Mengidentifikasikan faktor-faktor yang mempengaruhi resiko audit
– Penetapan resiko dalam lingkungan audit, misalkan bahwa inherent risk, control risk dan detection risk dalam sebuah on-line processing, networks, dan teknologi maju database lainnya akan lebih besar daripada sebuah sistem akuntansi manual.

2. Penyiapan program audit (Prepare audit program). Yaitu antara lain adalah:

Mengumpulkan bukti audit (Collection of Audit Evidence) yang meliputi:

– Mengobservasi aktivitas operasional di lingkungan PDE
– Mengkaji ulang sistem dokumentasi PDE
– Mendiskusikan dan mengajukan pertanyaan-pertanyaan dengan petugas berwenang.
– Pengujian keberadaan dan kondisi fisik aktiva.
– Konfirmasi melalui pihak ketiga
– Menilai kembali dan re-performance prosedur sistem PDE.
– Vouching ke dokumen sumber
– Analytical review dan metodesampling

3. Evaluasi bukti (Evaluation of Audit Evidence).

Auditor menggunakan bukti untuk memperoleh keyakinan yang memadai (reasonable assurance), jika inherent risk dan control risk sangat tinggi, maka harus mendapatkan reasonable assurance yang lebih besar. Aktivitas evaluasi bukti yang diperoleh meliputi:

– Menilai (assess) kualitas pengendalian internal PDE
– Menilai reliabilitas informasi PDE
– Menilai kinerja operasional PDE
– Mempertimbangkan kembali kebutuhan adanya bukti tambahan.
– Mempertimbangkan faktor resiko
– Mempertimbangkan tingkat materialitas
– Bagaimana perolehan bukti audit.

4. Mengkomunikasikan hasil audit

Auditor menyiapkan beberapa laporan temuan dan mungkin merekomendasikan beberapa usulan yang terkait dengan pemeriksaan dengan di dukung oleh bukti dan dalam kertas kerjanya. Setelah direkomendasikan juga harus dipantau apakah rekomendasinya itu ditindaklanjuti.

Keamanan

Audit keamanan informasi merupakan bagian penting dari setiap audit TI dan sering dipahami sebagai tujuan utama dari Audit TI. Ruang lingkup yang luas dari audit keamanan informasi mencakup topik seperti pusat data (keamanan fisik pusat data dan keamanan logis dari database, server dan komponen jaringan infrastruktur), jaringan dan keamanan aplikasi. Seperti alam yang paling teknis, topik ini selalu berkembang; IT auditor harus senantiasa terus memperluas pengetahuan dan pemahaman tentang sistem dan lingkungan, dan mengejar sistem di perusahaan.