AUDIT Atas Sistem Informasi Berbasis Teknologi Informasi
AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI INFORMASI
Audit atas sistem berbasis komputer / teknologi informasi memiliki ruang lingkup yang luas. Terdapat beberapa tahapan audit yang harus dilaksanakan dalam melaksanakan audit sistem berbasis teknologi informasi secara keseluruhan. Tahapan audit yang dilakukan meliputi tahap survey pendahuluan, tahap evaluasi pengendalian sistem (audit sistem informasi), tahap pengujian ketaatan dan tahap pengujian subtantif serta terakhir penyusunan laporan (Wilkinson, 2006). Sedangkan, menurut Romney and Steinbart (2015:337), mendefinisikan audit sistem informasi sebagai :
“An examination of the general and application controls of an IS to assess its compliance with internal control policies and procedures and its effectiveness in safeguarding assets.”
Audit merupakan proses menerima dan mengevaluasi bukti mengenai asersi ihwal tindakan ekonomi dan peristiwa dalam rangka untuk menentukan seberapa baik mereka sesuai dengan kriteria yang telah ditetapkan. Dari definisi tersebut, diperoleh empat langkah utama dalam proses audit (Romney and Steinbart, 2015:339), diantaranya yaitu :
1) Perencanaan Audit.
Menyelenggarakan apa yang perlu dilakukan, bagaimana dan siapa yang akan melaksanakan audit. Hal ini dilakukan dengan terlebih dahulu mengidentifikasi risiko, maka cukup dapat memahami ruang lingkup dan tujuan audit dan apa yang akan diminta untuk melaksanakan audit. Sebagian besar pekerjaan audit akan fokus pada tempat dengan jumlah tertinggi risiko.
Ada tiga jenis risiko audit, yaitu :
• Risiko yang melekat : risiko duduk perkara kontrol dalam ketiadaan kontrol internal.
• Pengendalian risiko : risiko salah saji material yang akan melewati struktur pengendalian intern.
• Deteksi risiko : risiko bahwa auditor dan prosedur tidak akan mendeteksi salah saji material atau kesalahan.
2) Pengumpulan bukti dapat dilakukan dalam banyak sekali cara :
• Observasi
• Meninjau dokumentasi
• Wawancara, diskusi, dan kuesioner
• Pemeriksaan fisik (misalnya, jumlah persediaan)
• Konfirmasi dengan pihak ketiga
• Reperforming perhitungan (misalnya, perkiraan menyerupai penyusutan atau perhitungan beban utang buruk)
• Dokumen pendukung vouching (misalnya, penjualan pesanan pelanggan, dokumen pengiriman, faktur penjualan, pembayaran pelanggan)
• Analytical review (memeriksa tren dan contoh baik di dalam organisasi dan industri mereka)
3) Evaluasi bukti melibatkan auditor berkesimpulan bahwa bukti mendukung atau tidak mendukung pernyataan.
4) Komunikasi hasil dalam bentuk laporan tertulis dan sering termasuk rekomendasi kepada manajemen.
Audit sistem informasi menggunakan kerangka berbasis risiko yang memungkinkan auditor untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem untuk memenuhi setiap tujuan tersebut (Romney and Steinbart, 2015:340). Kerangka berbasis risiko dapat diterapkan pada tujuan audit sistem informasi dalam empat bidang kerangka, yaitu :
• Mengidentifikasi penipuan dan kesalahan (ancaman) yang dapat terjadi yang mengancam setiap tujuan
• Identifikasi prosedur pengendalian (mencegah, mendeteksi, memperbaiki ancaman)
• Evaluasi prosedur pengendalian
Tinjau untuk melihat apakah ada pengendalian dan dalam bab apa
Uji kontrol untuk melihat apakah mereka bekerja sebagaimana dimaksud
• Menentukan efek kelemahan pengendalian
Pengendalian kompensasi
Berikut ini ada beberapa teknik audit yang biasanya digunakan oleh auditor secara bersamaan untuk aktivitas pengujian (Romney and Steinbart, 2015:347), diantaranya ialah :
a. Integrated Test Facility (ITF), menyisipkan entitas dummy dalam sistem perusahaan, pengolahan transaksi tes untuk memperbarui mereka tidak akan mensugesti catatan sebenarnya.
Menggunakan input fiktif
b. Snapshot Technique, menandai transaksi dengan arahan khusus, merekam dan catatan master file mereka sebelum dan setelah pengolahan, dan menyimpan data untuk kemudian memverifikasi bahwa semua langkah pengolahan dieksekusi dengan baik.
File induk sebelum dan setelah update disimpan untuk transaksi yang ditandai khusus
c. System Control Audit Review File (SCARF), menggunakan modul audit yang tertanam untuk terus memantau transaksi, mengumpulkan data ihwal transaksi dengan signifikansi audit khusus, dan menyimpan data untuk kemudian mengidentifikasi dan menyelidiki transaksi yang dipertanyakan.
Pemantauan terus menerus dan penyimpanan transaksi yang memenuhi pra-spesifikasi
d. Audit Hooks, rutinitas audit yang memberitahukan auditor terkait transaksi yang dipertanyakan tersebut.
Memberitahukan auditor terkait transaksi yang diragukan.
e. Continuous and Intermittent Simulation, penyematan modul audit DBMS yang menggunakan kriteria tertentu untuk memeriksa semua transaksi yang update database.
Sama halnya dengan SCARF untuk DBMS.
ANALISIS PROGRAM LOGIC. Jika auditor menerka bahwa aktivitas berisi arahan yang tidak sah atau kesalahan serius, analisis rinci dari kebijaksanaan aktivitas mungkin diperlukan. Ini memakan waktu dan memerlukan kemahiran dalam bahasa pemrograman yang sesuai, sehingga harus digunakan sebagai upaya terakhir. Auditor menganalisis pengembangan, operasi, dan dokumentasi aktivitas serta hasil cetakan dari arahan sumber. Mereka juga menggunakan paket perangkat lunak berikut (Romney dan Steinbart, 2015: 348) :
• Automated flowcharting program, perangkat lunak yang menafsirkan arahan sumber aktivitas dan menghasilkan flowchart kebijaksanaan program.
• Automated decision table program, perangkat lunak yang menafsirkan arahan sumber aktivitas dan menghasilkan tabel keputusan kebijaksanaan program.
• Scanning routines, software yang akan mencari aktivitas untuk terjadinya item tertentu.
• Mapping programs, software yang mengidentifikasi arahan aktivitas yang tidak dijalankan.
• Program tracing, berurutan mencetak semua langkah aktivitas yang dijalankan, bercampur dengan output, sehingga urutan eksekusi aktivitas dapat diamati.
Komputer - dibantu teknik Audit (CAATs) mengacu mengaudit software, sering disebut perangkat lunak audit umum (GAS), yang menggunakan auditor - spesifikasi yang disediakan untuk menghasilkan aktivitas yang melaksanakan fungsi audit, ada dengan mengotomatisasi atau menyederhanakan proses audit. CAATs idealnya cocok untuk memeriksa file data yang besar untuk mengidentifikasi catatan membutuhkan pemeriksaan pemeriksaan lebih lanjut. Menggunakan CAATs, auditor diakses catatan pemungutan pajak selama 4 tahun sebelumnya, mengurutkannya berdasarkan tanggal, menyimpulkan koleksi dari bulan, dan membuat laporan dari koleksi pajak bulanan. Auditor kemudian digunakan CAATs untuk membandingkan setiap catatan pemungutan pajak dengan catatan properti (Romney dan Steinbart, 2015: 350-351).
Untuk menggunakan CAATs, auditor memutuskan tujuan audit, mempelajari file dan database yang akan diaudit, merancang laporan audit, dan menentukan bagaimana untuk menghasilkan mereka. Program CAATs menggunakan spesifikasi untuk menghasilkan aktivitas audit. CAATs tidak dapat menggantikan pertimbangan auditor atau membebaskan auditor dari fase lain dari audit.
CAATs sangat berharga bagi perusahaan dengan proses yang kompleks, opertions didistribusikan, volume transaksi yang tinggi, atau banyak sekali macam aplikasi dan sistem. Berikut ini ialah beberapa kegunaan penting dari CAATs (Romney dan Steinbart, 2015: 352) :
• Query file data untuk mengambil pertemuan catatan kriteria yang ditentukan.
• Menciptakan, memperbarui, membandingkan, download, dan penggabungan file.
• Meringkas data, menyortir, dan penyaringan.
• Mengakses data dalam format yang berbeda dan mengkonversi data ke dalam format yang umum.
• Meneliti catatan untuk kualitas, kelengkapan, konsistensi, dan kebenaran.
• Stratifikasi catatan, memilih dan menganalisa sampel statistik.
• Pengujian untuk risiko spesifik dan mengidentifikasi bagaimana untuk mengendalikan risiko itu.
• Melakukan perhitungan, analisis statistik, dan operasi matematika lainnya.
• Melakukan tes analitis, menyerupai rasio dan analisis kecenderungan, mencari contoh data yang tidak terduga atau dijelaskan yang mungkin mengindikasikan penipuan.
• Mengidentifikasi kebocoran keuangan, kebijakan non kepatuhan, dan kesalahan pengolahan data.
• Merekonsiliasi jumlah fisik untuk jumlah yang dihitung, pengujian akurasi ulama ekstensi dan saldo, pengujian untuk duplikat item.
• Format dan pencetakan laporan dan dokumen.
• Membuat kertas kerja elektronik.
Post a Comment
Post a Comment