AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI INFORMASI



AUDIT ATAS SISTEM INFORMASI BERBASIS TEKNOLOGI INFORMASI

Audit merupakan sebuah kegiatan yang melakukan pemerikasaan untuk menilai dan mengevaluasi sebuah aktivitas atau objek seperti implementasi pengendalian internal pada sistem informasi akuntansi yang pekerjaannya ditentukan oleh manajemen atau proses fungsi akuntansi yang membutuhkan improvement.
Audit Sistem Informasi adalah sebuah proses yang sistematis dalam mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi berbasis komputer yang digunakan oleh organisasi telah dapat mencapai tujuannya.
dimana Pengertian Audit itu sendri yaitu :
Suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi.
A.    Tujuan atas Sistem Informasi dan Pendekatan yang digunakan
Merupakan suatu proses pengumpulan dan pengevaluasian bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem informasi dan sumber daya terkait, secara memadai telah dapat digunakan untuk:
a. melindungi asset.
b. menjaga integritas dan ketersediaan sistem dan data.
c. menyediakan informasi yang relevan dan handal.
d. mencapai tujuan organisasi dengan efektif.
e. menggunakan sumber daya dengan efisien.

Pendekatan Audit Berbasis-Risiko
-          Menentuakan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
-          Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman.
-          Mengevaluasi prosedur pengendalian
a.       Tinjauan system (system review), menentukan apakah prosedur pengendalian benar-benar dilaksanakan.
b.      Uji Pengendalian (test of control). Dilakukan untuk menentukan apakah pengendalian yang ada berjalan seperti yang dikehendaki.
-          Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengauditan.
1.      Keamanan Secara Menyeluruh
Menggunakan pendekatan berbasis-risiko untuk menyajikan sebuah kerangkan kerja pengauditan keamanan komputer secara menyeluruh. Hal ini menujukan bahwa ancaman terhadap keamanan system secara keseluruhan termasuk dari perusahaan secara kebetulan atau disengaja atas aset sistem; akses, pengungkapan, atau modifikasi data dan program yang tidak diotorisasi; pencurian; serta gangguan atas aktivitas bisnis yang krusial.
2.      Pengembangan Program dan Akuisisi
Dua hal yang dapat menjadi kesalahan dalam pengembangan program: (1) kelalaian pemrograman yang berkaitan dengan kurangna pemahaman tentang spesifikasi system atau pemrograman yang teledor, dan (2) intruksi yang tidak diotorisasi dengan sengaja disisipkan ke dalam program. Masalah-masalah tersebut dapat dikendalikan dengan meminta otorisasi serta persetujuan dari manajemen dan penggua, pengujian yang menyeluruh, serta dokumentasi yang tepat.
3.      Modifikasi Program
Ancaman-ancaman yang terjadi dalam pegembangan program yang juga dapat terjadi selama modifikasi program. Sebagai contoh, seorang pemrogram yang ditugaskan untuk memodifikasi system penggajian perusahaannya menyisipkan sebuah perintah untuk menghapus seluruh file perusahaan jika ia dipecat. Ketika dia dipecat, system tersebut akan rusak dan menghapus file-file kunci.
4.      Pemrosesan Komputer
-          Pengolahan Data Pengujian
Satu cara untuk menguji sebuah program adalah memproses satu set hipotesis atas transaksi yang valid dan tidak valid. Program tersebut seharusnya memproses seluruh transaksi valid dengan benar dan menolak semua yang tidak valid. Sumber daya berikut ini berguna ketika mempersiapkan pengujian data:
a.       Sebuah daftar atas transaksi-transaksi actual.
b.      Transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program.
c.       Sebuah tes pembuatan data (test data generator) yang menyiapkan data pengujian berdasarkan spesifikasi program.
-          Teknik-Teknik Audit Bersamaan
a.       Integrated test facility (ITF), menyisipkan catatan-catatan fiktif yang mempresentasikan divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan.
b.      Teknik snapshot (snapshot technique), transaksi-transaksi yang terpilih ditandai dengan sebuah kode khusus.
c.       System control audit review file (SCARF), menggunakan modul audit yang dilekatkan untuk terus menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi dengan signifikasi audit khusus, serta menyimpanan dalam sebuah file SCARF atau log audit (audit log).
d.      Audit hooks, adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang dipertanyakan, biasanya transaksi-transaksi tersebut terjadi.
e.       Continuous and Intermitient Simulation (CIS), meletakkan sebuah modul audit dalam sebuah system manajemen database yang menguji seluruh transaksi yang memperbaharui database menggunakan kriteria yang serupa SCARF.
-          Analisis Atas Logika Program
a.       Program bagan alir otomatis (automated flowcharting program)
b.      Program table keputusan otomatis (automated decision table program)
c.       Rutinitas pemindaian (scanning routines)
d.      Program pemetaan (mapping program)
e.       Penelusuran program (program tracing)
5.      Data Sumber
Sebuah matrik pengendalian input digunakan untuk mendokumentasikan pemeriksaan atas pengendalian data sumber. Fungsi pengendalian data harus independen (bebas) dari fungsi lainya, melindungi sebuah log pengendalian data, menangani kesalahan, dan memastikan keseluruhan efisiensi dari operasi.
6.      File Data
Memperhatikan tentang ketepatan, integritas, dan keamanan atas data yang disimpan dalam file yang dapat dibaca mesin.
B.     Evaluasi Pengendalian Internal dalam Sistem Informasi
Pendekatan evaluasi pengendalian internal yang digunakan desebut pendekatan audit berbasis-risiko. Pendekatan ini sesuai dengan International Standards on Auditing (ISA) yang merupakan standar audit yang berbasis pada risiko. Dalam audit berbasis risiko, auditor menggunakan kearifan professional dalam pelaksanaan audit dan lebih menekankan pada profesioanl judgement. Audit berbasis risiko merupakan metodologi dimana auditor dalam mengaudit mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus atas pengujian system dan proses bagaimana manajemen mengatasi hambatan pencapaian tujuan, serta membantu manajemen mengatasi atau mengalihkan hambatan yang dikarenakan factor risiko dalam pengambilan keputusan.

C.    Penggunaan Software computer audit dan Perannya dalam Menunjang Audit Sistem Informasi
Computer Assisted Audit Techniques (CAATS)
Menurut Sayana (2003), melakukan audit tanpa mengunakan teknologi merupakan suatu pilihan yang sulit. Hal ini dikarenakan semua informasi yang dibutuhkan untuk melakukan audit terdapat pada sistem komputer. Oleh karena itu, dalam melaksanakan audit dibutuhkan suatu software yang  mendukung untuk melakukan audit dan mencapai tujuan audit, pendekatan ini disebut dengan CAATs. CAATs diklasifikasikan menjadi 4 kategori utama yaitu :
a.     Data Analysis Software
Data Analysis Software merupakan kategori yang paling banyak digunakan untuk membantu tujuan audit secara umum. Salah satu produk Data Analysis Software yang adalah GAS (Generalized Audit Software).
b.     Network Security Evaluation Software/Utilities
Network Security Evaluation Software/Utilities merupakan salah satu software yang memb antu auditor dalam mengevaluasi keaman an jaringan dengan  menemukan  kerentanan-kerentanan  (vulnerabilitiesyang  ada dari serangan-serangan orang yang tidak bertanggung jawab pada sebuah jaringan dengan menggunakan tool seperti scanner.
c.     OS and DBMS Security Evaluation Software/Utilities
OS and DBMS Security Evaluation Software/Utilities merupakan salah satu software yang digunakan untuk mengevaluasi keamanan pada platform dan database yang digunakan pada sebuah sistem.
d.     Software and Code Testing Tools
Software and Code Testing Tools digunakan untuk melakukan pengujian terhadap fungsionalitas sebuah software dan kode program dengan tujuan untuk menemukan bug. Selain itu untuk menentukan apakah software itu telah  memenuhi requirement dan berjalan  sesuai dengan  yang  diharapkan.
Menurut ISACA yang diterjemahkan oleh Gondodiyoto (2007, p237), pedoman teknik audit berbantuan komputer (CAATs) berada pada Guideline ketiga (G3) yang diterbitkan pada tanggal 1 Desember 1998.

G3 Use of Computer Assisted Audit Techniques

1.   Latar Belakang
a.  Guideline ini berkaitan dengan standard S6 (Kinerja Pelaksan aan Audit), S5 (Audit Planning), dan S3 (Professional Ethics and Standards).
b.  Guideline ini disusun dengan tujuan memp erjelas beberapa hal:
CAATs terdiri berbagai tipe alat dan teknik, seperti General Software Audit, Utility Software, Test Data atau Test Data Generation, pemetaan software aplikasi, dan sistem pakar (expert system) audit, merupakan teknik yang sangat penting bagi kinerja auditor SI. CAATs dapat digunakan untuk mengerjakan beberapa  prosedur audit:
·         Uji transaksi/saldo
·         Prosedur analitis
·         Uji pengendalian umum SI
·         Uji pengendalian aplikasi SI
·         Tes penetrasi
CAATs dapat menghasilkan banyak bukti audit pada audit SI, karena itu IT auditor harus merencanakan penggunaan CAATs dengan seksama.
2.   Pokok-pokok isi
a.  Faktor-faktor yang harus dipertimbangkan auditor dalam perencanaan audit, apakah akan melakukan audit secara manual, dengan CAATs, atau kombinasi antara keduanya, bergantung pada :
·         Pengetahuan komputer, keahlian, dan pengalaman dari auditor SI.
·         Cocok atau tidaknya memakai fasilitas CAATs.
·         Efisiensi dan efektivitas penggunaan CAATs dibanding manual.
·         Pertimbangan waktu.
·         Integritas sistem informasi dan lingkungannya.
·         Tingkat risiko audit yang ditetapkan.
b.  Langkah-langkah yang harus dilakukan oleh auditor dalam CAATs:
·         Menentukan tujuan pemakaian CAATs dalam audit.
·         Menentukan accessibility dan availability system atau program dan data yang akan diaudit.
·         Menentukan prosedur yang akan dilakukan dengan CAATs, misalnya sampling, rekalkulasi, penyiapan konfirmasi, dsb.
·         Menentukan kebutuhan output.
·         Menentukan sumber daya antara lain personil, lingkungan SI yang akan diaudit dengan berbantuan komputer.
·         Menentukan akses untuk mengetahui spesifikasi program atau sistem, data pada SI perusahaan termasuk definisi file yang akan diaudit.
·         Dokumentasi CAATs yang diperlukan yang mungkin perlu digunakan, termasuk diantaranya tujuan/manfaat CAATs tersebut, high level flowchart, dan instruksi atau panduan menjalankan.
c.  Persiapan dengan auditan
·         Test file atau data transaksi mungkin tidak lama berada di komputer , untuk itu auditor SI harus meminta data lama (retensi) sesuai dengan kebutuhan periode ruang lingkup jangka waktu audit.
·         Akses terhadap fasilitas, program/sistem dan data SI organisasi harus diatur dengan baik agar sesedikit mungkin atau untuk mengurangi efek terhadap lingkungan produksi organisasi yang sedang diaudit.
·         Auditor SI harus memperkirakan  efek memakai  CAATs, kemungkinan diubahnya program produksi atau data yang diaudit, serta integritas pelaksanaan CAAT tersebut.

Test CAATs
Auditor SI harus yakin terhadap integrity, realib ility, dan keamanan CAATs dengan perencanaan, perancangan, pengujian, pemrosesan, dan review dokumentasi yang memadai sebelum benar-benar melakukan audit berbantuan komputer tersebut.
a.  Data Security dan CAATs
·         Pada waktu menggunakan CAATs, extract data untuk analisis, auditor SI memv erifik asi integritas data dari sistem informasi dan lingkungan TI dari data yang diekstrak.
·         CAATs dapat digunakan untuk mengekstrak program atau  data dengan tetap harus dijaga kerahasiaannya.
·         Auditor SI harus mendokumentasikan hasil prosedur audit berbantuan komputer  tersebut  dengan  benar  untuk  mendukung  integritas, realib ilitas, kegunaan dan keamanan CAATs. Contoh harus diperiksa apakah  program  yang  diaudit  benar-benar   production   program, ap akah ada mekanisme program changes control yang memadai.
·         Ketika CAATs berada pada lingkungan yang tidak dalam kontrol auditor, auditor SI tetap harus mendapat keyakinan bahwa in tegrity, reliability, usefullness, dan security tetap terjaga.
b.  Pemakaian CAATs pada    pengumpulan   bukti    audit    ialah     untuk mendukung keyakinan memadai, oleh karena itu auditor SI harus :
·         Sedapat mungkin melakukan rekonsiliasi kontrol total.
·         Review output mengenai kelayakan datanya.
·         Melakukan  review   logika,   parameter   yang   digunakan   dan ciri/k arakteristik lain dari CAATs.
·         Review pengendalian umum yang mungkin berkonstribusi pada integritas CAATs, misalnya program change controls, akses terhad ap data/file atau program.
c.  Generalized Audit Software (GAS) :
Dalam menggunakan GAS untuk akses data, auditor SI harus mengikuti langkah yang benar untuk melindungi integritas data yang akan diaudit.
d.  Utility Software
Jika memakai utility software (software yang umumnya bagian sistem software, atau bahkan operating system) auditor SI harus yakin bahwa tidak ada intervensi dan software tersebut diambil dari kepustakaan file (library) yang benar, dan bahwa sistem dan data yang diaudit terlindungi dari kerusakan
e.  Test Data
Jika menggunakan data uji, auditor SI harus waspada bahwa  data  uji dapat memberi potensi error dan bahwa yang dievaluasi adalah ukuran data yang aktual. Sistem data uji sering perlu ketelitian dan waktu lama, dan auditor harus yakin bahwa setelah test maka data uji tidak mengkontaminasi data sesungguhnya (real actual data).
f.  Application Software Tracing and Mapping
Jika menggunakan software untuk penelusuran dan pemberitaan aplikasi, auditor SI harus yakin bahwa source code yang dievaluasi adalah benar- benar yang menjadi program object code yang digunakan dalam produksi.
g.  Audit Expert System
Jika menggunakan sistem pakar audit, auditor SI harus paham benar mengenai konsep operasi sistem pakar tersebut agar yakin bahwa keputusan yang akan diikuti adalah benar keputusan yang diambil dengna jalur yang benar sesuai dengan kondisi dan tujuan lingkungan audit.
h.  Dalam perencanaan audit perlu dilakukan dokumentasi yang mencakup tujuan/manfaat CAATs, CAATs yang digunakan, pengendalian intern yang diuji atau di-test, personil/staff yang terkait dan waktu. Pada Work Papers (kertas kerja pemeriksaan), langkah-langkah CAATs harus didokumentasi untuk mendukung bukti audit yang memadai. Kertas kerja audit harus memiliki dokumentasi yang mendeskripsikan aplikasi CAATs yang digunakan dan hal-hal berikut:
·         Persiapan dan prosedur pengujian pengendalian CAATs.
·         Rincian kerja pengujian CAATs.
·         Rincian input (data yang diuji, file la yout), proses (high level flowchart, logic), output (log file, laporan).
Listing parameter yang digunakan dan source code
·         Output yang dihasilkan dan gambaran hasil analisisnya.
·         Temuan audit, kesimpulan dan rekomendasi.
i.  Uraian penjelasan CAATs dalam pelaporan
·         Laporan audit harus secara jelas menguraikan tujuan, ruang lingkup, dan metodologi CAATs yang digunakan.
·         Penjelasan CAATs harus juga tercantum pada batang tubuh laporan, temuan sebagai hasil pemakaian CAATs harus juga diungkapkan.
Jika uraian tentang CAATs akan terlalu banyak (terkait beberapa temuan) atau terlalu rinci maka dapat diuraikan pada bagian laporan yang memuat tujuan, ruang lingkup, dan metodologi audit.
a.    Merekonsiliasi perhitungan fisik engan jumlah yang dikomputasi, menguji ketepatan.
b.   Memformat serta mencetak laporan dan dokumen
c.    Membuat kertas kerja elektronik.









Kasus Audit IT: Deteksi Pembayaran Double

Kasus ini terkait dengan fasiltias bantuan dana dari PEMDA kepada para siswa SD dan SMP dengan kontrol menggunakan Kartu PEMDA Pintar. Sistem Pendidikan dan Sistem Kartu sudah berbasis IT, namun merupakan sistem terpisah. 
Dari diskusi, ada beberapa temuan penyimpangan, diantaranya:
https://2.bp.blogspot.com/-4XY10Ba2aLQ/V0ggE4eP8yI/AAAAAAAAAzU/yDJh1STJ17oJV6lYgP8StcLGThwp5EWtgCLcB/s1600/20130404Kartu-Jakarta-Pintar-030413-zk-xx.jpg
  • Satu orang siswa bisa mendapatkan dua kartu PEMDA Pintar (artinya 2 X bantuan dana).
  • Ada kartu yang bisa terbit dan data siswa tercatat dalam database sistem Kartu, namun ternyata siswa terkait tidak ada atau sudah pindah dari wilayah PEMDA.
Kondisi diatas hasil temuan kawan Internal Audit PEMDA. Apresiasi bagi mereka yang mampu menemukan fakta teresebut. Hanya saja masalah terkait hasil audit tersebut adalah:
  • Temuan berdasarkan hasil pengujian manual atas dokumen kertas, dengan cara membandingkan nama siswa dan orang tua antara data Kartu yang terbit dengan konfirmasi fisik ke sekolah-sekolah. Padahal, sistem pendidikan dan sistem Kartu sudah menggunakan Sistem High IT. Konsekuensinya dari pengujian manual, proses audit menjadi melelahkan dan banyak makan waktu.
  • Konsekuensi lain, jumlah data yang diuji menjadi terbatas, sehingga auditor hanya mampu mengungkapan sedikit sekali nilai penyimpangan.
Kami berkeyakinan, bahwa fakta di atas merupakan contoh fenomena gunung es, masih ada banyak penyimpangan yang belum terungkap. Informasi tambahan, total siswa SD dan SMP di PEMDA tsb untuk tahun 2012 adalah sebanyak 837.875 SD 343.594 siswa SMP, dengan nilai rata-2 bantuan per kartu sebesar Rp250.000/ bulan. 
...
Berikut ini solusi sederhana yang kami coba tawarkan untuk meningkatkan kualitas hasil audit terhadap penerbitan dan pembayaran Kartu PEMDA Pintar tersebut:
  1. Gunakan CAAT (misalkan ACL atau TeamMate). Dalam lingkungan berbasis IT, audit seharusnya menggunakan CAAT. Disini, kami menggunakan ACL. Dalam kasus kita, ada dua sistem IT terpisah yang keduanya merekam data siswa, yaitu:
    • Sistem Pendidikan di Dinas Pendidikan, memiliki data Nama Siswa, Nomor Induk Siswa, dan Nama Sekolah. Sumber data untuk database siswa berasal dari input masing-masing sekolah ke dalam Sistem
    • Sistem Kartu PEMDA Pintar, memiliki data Nomor Kartu PEMDA Pintar, Nama Siswa, Nomor Induk Siswa, dan Nama Sekolah, Nilai Bantuan.
Kedua sistem tersebut seharusnya memiliki field unik/kunci yang sama, yaitu nomor induk siswa.
  1. Dapatkan Database dari kedua sistem tersebut. Misalkan kita dapatkan database simulasi (menggunakan format excel) sebagai berikut:
    a. Database Sistem Pendidikan
Database Pendidikan
Database Pendidikan

  1. b. Database Sistem Kartu PEMDA Pintar
Database Kartu
Database Kartu
  1. Bayangkan jika database berisi 1 juta record, tentu auditor akan merasa pusing untuk mengecek satu per satu apakah ada double pemberian kartu kepada satu siswa atau tidak.
  2. Examination
    a. Analisis Duplikat untuk menguji duplikasi kartu.
    Dari tabel Kartu (dari database Sistem Kartu Pemda Pintar), dengan menggunakan fungsi “Look for Duplicates” on field “Nomor Induk Siswa”, maka ACL akan menghasilkan tabel dibawah ini:
Siswa Dapat Dua Kartu
Siswa Dapat Dua Kartu
  1. Dari tabel “Double Kartu” terlihat bahwa:
    • Siswa dengan nomor induk “111111” memiliki dua kartu dengan nomor kartu AA5551 dan AA5559.
    • Siswa dengan nomor induk “111113” memiliki dua kartu dengan nomor kartu AA5553 dan AA5560.

b. Analisis “Joint Tables” untuk menguji siswa fiktif atau pindah.
Dengan menggunakan fungsi “Join Tables”, dimana:
    • Primary table = “Kartu”, primary key = “Nomor Induk Siswa”, primary fields = “all”, dan.
    • Secondary table = “Pendidikan”, primary key = “Nomor Induk Siswa”, primary fields = “all”, dan
    • Join categories = “Unmatched Primary Records”
maka ACL akan menghasilkan tabel dibawah ini:
Siswa Fiktif atau Pindah
Siswa Fiktif atau Pindah
Dari tabel “Siswa Fiktif Pindah” terlihat bahwa kartu atas nama Otong, NIS = 111121 tidak terdaftar dalam database Sistem Pendidikan.

c.    Analisis “Joint Tables” untuk menguji siswa belum dapat kartu PEMDA Pintar.
Dengan menggunakan fungsi “Join Tables”, dimana:
    • Primary table = “Pendidikan”, primary key = “Nomor Induk Siswa”, primary fields = “all”, dan
    • Secondary table = “Kartu”, primary key = “Nomor Induk Siswa”, primary fields = “all”, dan
    • Join categories = “Unmatched Primary Records”
maka ACL akan menghasilkan tabel dibawah ini:
Siswa Tidak Dapat Kartu
Siswa Tidak Dapat Kartu
Dari table “Siswa Tidak Ada Kartu” terlihat bahwa siswa atas Nama Fitra J, Gilang M, dan Jono M belum mendapatkan kartu PEMDA Pintar.

  1. Coba bayangkan jika jumlah siswa atau kartu yang diolah mencapai 1 Juta siswa, dengan menggunakan CAAT, maka semua pekerjaan analisis oleh auditor dalam audit IT akan menjadi lebih mudah.

  1. Hal penting yang perlu menjadi perhatian auditor adalah adanya kelemahan dalam sistem, dimana tidak ada koneksi database antara Sistem Pendidikan dan Sistem PEMDA Pintar. Kedua sistem tersebut seharusnya terintegrasi, dimana:
    • Sistem Pendidikan share database siswa ke Sistem PEMDA Pintar, sehingga:
      • Kartu terbit didasarkan database siswa di Sistem Pendidikan
      • Jika ada mutasi siswa pindah daerah, maka otomatis Sistem Kartu PEMDA Pintar akan memblok penggunaan kartu oleh siswa tersebut. 
    • Sistem PEMDA Pintar share database kartu terbit ke Sistem Pendidikan, sehingga Dinas Pendidikan bisa memonitor jika ada siswa yang tidak mendapatkan Kartu.
Saran:
  • Semua auditor seharusnya menggunakan CAAT dalam audit di lingkungan berbasis IT
  • Sistem Kartu PEMDA Pintar seharusnya terkoneksi dengan dan mengambil data siswa dari database Sistem Pendidikan dan tidak bisa input, ubah, dan hapus data siswa. 
  • Bahkan jika Sistem Kartu PEMDA Pintar juga terintegrasi dengan semua sistem lainnya, seperti Sistem BPN, Sistem Dinas Pendapatan, Sistem Samsat, maka auditor juga dengan mudah mendeteksi Siswa Pemegang Kartu yang tidak memenuhi syarat (misal orang tua nya punya rumah, mobil/ motor).
















Daftar Pustaka
http://makalahauditberbasisisa.blogspot.co.id/2016/02/audit-berbasis-risiko.html


Komentar

Posting Komentar

Postingan Populer