AUDIT TEKNOLOGI SISTEM INFORMASI (TSI) PADA LINGKUNGAN WORKGROUP/ENTERPRISE
AUDIT TEKNOLOGI SISTEM INFORMASI (TSI)
PADA LINGKUNGAN WORKGROUP/ENTERPRISE
Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dariinfrastruktur teknologi informasi secara menyeluruh.
Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial danaudit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis.
Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
Tujuan audit sistem informasi secara teknis yaitu:
a) Evaluasi atas kesesuaian antara rencana strategis dengan rencana tahunan organisasi,rencana tahunan dan rencana proyek.
b) Evaluasi atas kelayakan struktur organisasi yaitu termasuk pemisahan fungsi dan kelayakan pelimpahan wewennang dan otoritas.
c) Evaluasi atas pengelolahan personil yaitu termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi,mutasi, serta terminasi personil.
d) Evaluasi atas pengembangan yaitu termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi, migrasi, pelatihan dan dokumentasi, serta manajemen perubahan.
e) Evaluasi atas kegiatan operasional yaitu termasuk pengelolaan keamanan dan kenerja pengelolaan pusat data, pengelolaan keamanan dan kenerja jaringan data, pengelolaan masalah dan insiden serta dukungan pengguna.
f) Evaluasi atas kontinuitas layanan yaitu termasuk pengelolaan backup dan recovery, pengelolaan prosedure darurat, pengelolaan rencana pemulihan layanan, serta pengujian rencana kontijensi operasional.
g) Evaluasi atas kualitas pengendalian aplikasi yaitu termasuk pengendalian input, pengendalian proses dan pengendalian output.
h) Evaluasi atas kualitas data/informasi yaitu termasuk pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.
KONSEP AUDIT TSI
Perencanaan (Planning)
Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.
Perencanaan meliputi beberapa aktivitas utama, yaitu:
Perencanaan meliputi beberapa aktivitas utama, yaitu:
· Penetapan ruang lingkup dan tujuan audit
· Pengorganisasian tim audit
· Pemahaman mengenai operasi bisnis klien
· Kaji ulang hasil audit sebelumnya
· Penyiapan program audit
Pemeriksaan Lapangan (Field Work)
Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.
Pelaporan (Reporting)
Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.
Tindak Lanjut (Follow Up)
Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.
PROSES AUDIT TSI
PROSES AUDIT TSI
Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:
a) Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
b) Tetapkan langkah-langkah audit yang rinci
c) Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
d) Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
e) Telaah apakah tujuan audit tercapai
f) Sampaikan laporan kepada pihak yang berkepentingan
g) Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.
Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:
a) Audit subject
b) Audit objective
c) Audit Scope
d) Preaudit planning
e) Audit procedures and Steps for data gathering
f) Evaluasi hasil pengujian dan pemeriksaan
g) Audit report preparation
Berikut struktur isi laporan audit secara umumnya (tidak baku):
a) Pendahuluan
b) Kesimpulan umum auditor
c) Hasil audit
d) Rekomendasi
e) Exit interview
Scr umum, struktur audit terdiri atas:
1. Tahap-tahap audit
2. Elemen masing-masing tahap audit
3. Tujuan umum masing-masing elemen &
4. Tugas-tugas ttt yg diperlukan utk mencapai setiap tujuan
Audit kinerja merupakan perluasan dari audit keuangan dlm hal tujuan & prosedumya. Berdasarkan kerangka umum struktur audit di atas, dapat dikembangkan struktur audit kinerja yg terdiri atas:
1. familiarization and planning phase
2. audit phase
3. reporting phase
4. follow-up phase
TAHAP PENGENALAN & PERENCANAAN
Tahap pengenalan & perencanaan terdiri dr dua elemen:
- survei pendahuluan, bertujuan utk menghasilkan research plan yg detail yg dpt membantu auditor dlm mengukur kinerja
- review SPM, bertujuan utk mengembangkan temuan berdsrkan perbandingan antara kinerja & kriteria yg telah ditetapkan sblmnya.
Preliminary Survey
Auditor akan berupaya utk memperoleh gambaran yg akurat ttg lingkungan organisasi yg diaudit, terutama berkaitan dg
- struktur & operasi organisasi
- lingkungan manajemen
- kebijakan, standar & prosedur kerja
Deskripsi tsb akan membantu auditor utk:
- menentukan tujuan audit & rencana audit scr detail
- memanfaatkan sumber daya yg ada utk hal-hal yg sifatnya material
- mendisain tugas scr efisien & menghindari kesalahan
Control System Review
- Pd audit keuangan, audit dimulai dg review & evaluasi thdp SPI terutama yg berkaitan dg prosedur akuntansinya
- Pd audit kinerja, auditor hrs menelaah SPM utk menemukan kelemahan pengendalian yg signifikan agar menjadi perhatian manajemen & utk mettkan luas, sifat & waktu pekerjaan pemeriksaan berikutnya
- SPM memberikan gambaran ttg metoda & prosedur yg digunakan oleh organisasi utk mengendalikan kinerjanya
- Pengendalian manajemen bertujuan utk memastikan bhw tujuan organisasi dicapai scr ekonomis, efisien, & sesuai dg hukum & peraturan yg berlaku.
Tiga langkah prosedur audit yg dilakukan pd review sistem pengendalian:
- Menganalisis sistem manajemen organisasi
- Membandingkannya dg model yg ada.
- Mencatat dugaan thdp setiap ketidakcocokan/ketidaksesuaian
Pertanyaan yg diajukan auditor pada tahapan ini:
- Apakah organisasi membuat perencanaan yg cukup? Apakah strategi utk mencapai tujuan telah ditetapkan? Apakah standar pencapaian tujuan juga telah ditetapkan?
- Apakah organisasi sudah terstruktur dengan baik untuk menjalankan aktivitasnya? Apakah sumber daya sudah tersedia dan terdistribusi dengan baik?
- Apakah rencana sudah dikomunikasikan kepada pihak-pihak yang bertanggungjawab untuk melaksanakan?
- Apakah kinerja telah dimonitor dengan menggunakan dasar/kriteria yang pasti? Apakah penyimpangan dari rencana semula diidentifikasi dan dianalisis dengan hati-hati? Apakah tindakan koreksi yang tepat waktu telah dilaksanakan?
Kriteria penilaian reliabilitas data dibagi dalam dua area, yaitu:
- Proses pengumpulan, perhitungan, dan pelaporan data
- Prosedur yang ada didisain untuk memastikan fairness, dependability, &reliability data.
- Terdapat pengendalian dalam proses pengumpulan dan penghitungan data untuk memastikan integritas data.
- Pengendalian yang telah ditetapkan sudah dijalankan.
- Terdapat dokumentasi yang memadai untuk menentukan integritas data.
- Kecukupan pelaporan data
- Data yang dikumpulkan dan dihitung, dibuat dengan dasar yang konsisten dengan tahun sebelumnya
- Kewajaran dan reliabilitas data disajikan dengan kriteria tertentu
Audit pada tahap pengenalan dan perencanaan mempersiapkan dokumen:
- Analitical memorandum berisi identifikasi kelemahan yang material dalam sistem pengendalian manajemen dan pembuatan rekomendasi untuk perbaikan atas kelemahan tersebut
- Planning memorandum dibuat berdasarkan hasil review sistem pengendalian untuk menentukan sifat, luas, dan waktu pekerjaan audit berikutnya
Indikator kinerja dapat membantu pemakai laporan dalam menilai kinerja organisasi yang diaudit.
TAHAPAN AUDIT
Tahapan dalam audit kinerja terdiri dari tiga elemen, yaitu:
- program results review
- economy and efficiency review
- compliance review
Komponen audit adalah
- identifikasi lingkungan manajemen
- perencanaan dan tujuan
- struktur organisasi
- kebijakan dan praktik
- sistem dan prosedur
- pengendalian dan metodanya
- sumber daya manusia dan lingkungan fisik
- praktik pengelolaan staf
- analisis fiskal
- area khusus investigasi
TAHAPAN PELAPORAN
Laporan tertulis bersifat permanen dan sangat penting untuk akuntabilitas publik. Hal terpenting bahwa laporan tersebut dapat dipahami oleh pihak-pihak yang menerima dan membutuhkan.
Tiga langkah pengembangan laporan audit, yaitu:
- preparation
- review
- transmission
Hal-hal yang perlu diperhatikan dalam penulisan laporan adalah:
- laporan audit kinerja harus ditulis secara objektif
- auditor tidak boleh overstate
- informasi yang disajikan harus disertai suatu bukti yang kompeten
- auditor hendaknya menulis laporan secara konstruktif, memberikan pengakuan terhadap kinerja yang baik maupun yang buruk
- auditor hendaknya mengakomodasi usaha-usaha yang dilakukan oleh manajemen untuk memperbaiki kinerjanya
Keahlian yang perlu dimiliki dan dikembangkan oleh auditor agar menghasilkan laporan yang efektif adalah:
- 1. Keahlian teknis
Keahlian yang dibutuhkan untuk mengorganisasikan atau menyusun informasi audit menjadi sebuah laporan yang koheren
- 2. Keahlian manajerial
Keahlian yang dibutuhkan untuk merencanakan, mengorganisasikan, melaksanakan dan mengendalikan masing-masing tahap audit untuk memastikan hasil akhir yang berkualitas dan tepat waktu.
- 3. Keahlianinterpersonal
Keahlian untuk menjaga hubungan baik dengan auditee, kemampuan untuk menyampaikan temuan-temuan negatif menjadi kesempatan-kesempatan positif sehingga mampu meyakinkan manajemen atas potensi-potensi yang ada.
Kekhususan laporan audit kinerja terletak pada rekomendasi untuk perbaikan
Sistematika laporan audit kinerja, terdiri atas:
- Pendahuluan
- Umum
- Surat pengiriman atau memorandum
- Laporan ringkasan
- Daftar isi laporan secara keseluruhan
- Daftar tabel dan gambar
- Teks
- Pendahuluan
- Body atau badan, mencakup:
1) Pengantar masalah (jika perlu)
2) Temuan-temuan
3) Kesimpulan dan rekomendasi
- Komentar auditee
- Referensi Masalah
- Footnotes
- Lampiran
- Bibliografi
- Komentar auditee (jika tidak dimasukkan ke dalam teks)
- Bahan referensi
Langkah-langkah dalam mengembangkan sebuah laporan audit adalah:
- Menyiapkan temuan-temuan secara individual
- Mengumpulkan semua referensi yang diperlukan untuk mendukung teks
- Menyiapkan teks
- menyiapkan laporan inti
- menyiapkan memorandum pengiriman laporan
Temuan audit merupakan building blocks laporan audit, maksudnya bahwa temuan audit akan disajikan secara tertulis sesuai dengan permasalahan yang relevan dan material yang ditemukan selama audit, yang mencakup argumen yang logis & komplit dan didukung oleh bukti-bukti yang cukup.
TAHAP PENINDAKLANJUTAN (FOLLOW UP)
Tindak lanjut didisain untuk memastikan/memberikan pendapat apakah rekomendasi auditor sudah diimplementasikan
Hal-hal yang perlu diperhatikan dalam tahap penindaklanjutan dari sisi auditor adalah:
- Dasar untuk melakukan follow up adalah perencanaan yang dilakukan oleh pihak manajemen
- Pelaksanaan review follow up
- Batasan review follow up
- Implementasi rekomendasi
- Implementasi oleh unit kerja
- Implementasi oleh eksekutif
- Peranan auditor dalam implementasi rekomendasi audit (auditor hanya berperan sebagai pendukung)
- Peranan legislatif dalam implementasi rekomendasi audit (merupakan otoritas tingkat akhir yang dapat mengambil tindakan implementasi rekomendasi secara formal dengan mengadopsi peraturan, mosi, dlsb.)
Beberapa pendekatan implementasi rekomendasi oleh legislatif yaitu
- Tindakan legislatif secara formal
- Tindakan legislatif secara informal
- Tindakan legislatif melalui anggaran
5. Pemeriksaan kembali secara periodik
Sumber : https://fakihwidiatmoko.wordpress.com/2013/02/26/proses-tahapan-audit/
0 komentar