Kata Audit berasal dari bahasa Latin ‘Audire’ (B.N.Tandon, 2000, p.l) yang berarti ‘mendengar’, yaitu pada jaman dahulu apabila seorang pemilik usaha merasa ada suatu kesalahan / penyalahgunaan, maka ia akan mendengarkan kesaksian orang tertentu. Dengan menunjuk orang tertentu sebagai auditor yang akan memeriksa akun perusahaan dan menyatakan pendapat mengenai akun perusahaan tersebut serta menerbitkan laporan.
Audit sesungguhnya dilakukan untuk mengevaluasi apakah kegiatan kerja atau kinerja suatu organisasi sudah sesuai dengan yang direncanakan, sudah efektif, efisien, sesuai dengan pedoman standar produktivitas yang direncanakan.
Pada dasarnya Audit merupakan proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.
Pada umumnya terdapat tiga jenis Audit yaitu :
- Audit Keuangan
- Audit Operasional / Manajemen
- Audit Sistem Informasi
2.2. Pengertian Audit Sistem Informasi
Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
“Audit sistem informasi adalah proses pengumpulan dan penilaian bukti - bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”.
Ada beberapa aspek yang diperiksa pada audit sistem informasi:
- Audit secara keseluruhan menyangkut : efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security.
- Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.
Proses audit sistem informasi dilakukan berdasarkan prosedur melalui tahap-tahap sebagai berikut :
a. Perencanaan Audit (Planning The Audit)
b. Pengujian Pengendalian (Test Of Controls)
c. Pengujian Transaksi (Test Of Transaction)
d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result)
e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Berikut penjelasan dari tahap-tahap Audit :
a. Perencanaan Audit (Planning The Audit)
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staff audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa tentang prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasikanresiko audit.
b. Pengujian Pengendalian (Test Of Controls)
Auditor melakukan kontrol test ketika mereka menilai bahwa kontrol resiko berada pada level kurang dari maksimum, mereka mengandalkan kontrol sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor tidak mengetahui apakah identifikasi kontrol telah berjalan dengan efektif, oleh karena itu diperlukan evaluasi yang spesifik.
c. Pengujian Transaksi (Test Of Transaction)
Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah kesalahan atau proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan material pada laporan keuangan. Tes transaksi ini termasuk menelusuri jurnal dari sumber dokumen, memeriksa file dan mengecek keakuratan.
d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result)
Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus diperhatikan adalah pengamatan harta dan kesatuan data. Beberapa jenis subtantif tes yang digunakan adalah konfirmasi piutang, perhitungan fisik persediaan dan perhitungan ulang aktiva tetap.
e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Pada fase akhir audit, eksternal audit akan menjalankan beberapa test tambahan terhadap bukti yang ada agar dapat dijadikan laporan.
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya sistem informasi yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
2.3. Tujuan Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
a. Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality(Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance(Kepatuhan).
b. Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency(Efisiensi), Reliability (Kehandalan).
Tujuan audit sistem informasi menurut Ron Weber tujuan audit yaitu :
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas sistem
4. Mencapai efisiensi sumberdaya.
Keempat tujuan tersebut dapat dijelaskan sebagai berikut :
Mengamankan aset, aset (activa) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
Sama halnya dengan aktiva - aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.
Menjaga integritas data, integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Meskipun demikian, perlu juga disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user). Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya
Audit efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design). Hal ini dapat terjadi jika desainer sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek dan besar biaya penerapannya, manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu oleh pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.
Mencapai efisiensi sumberdaya, suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat terbatas adanya. Oleh karena itu, beberapa kandidat sistem (system alternatif) harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.
Adapun tujuan yang lain adalah :
1. Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.
2. Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan strategis.
2.4. Perlunya Pengendalian dan Audit
Semenjak komputer menjadi alat utama dalam pemrosesan data dan penyediaan informasi untuk berbagai keputusan, maka sangat perlu bagi pengguna sistem informasi berbasis komputer untuk mengendalikan pemakaian sistem pengolah data berbasis komputer tersebut secara lebih baik. Beberapa alasan untuk manajemen memerlukan sebuah Audit Sistem Informasi, yaitu antara lain adalah sebagai berikut:
a. Kerugian akibat kehilangan data.
Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan masa mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi organisasi dalam menjalankan aktivitasnya.
Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan datanya.
Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.
b. Kerugian akibat kesalahan pemrosesan komputer.
Pemrosesan komputer menjadi pusat perhatian utama dalam sebuah sistem informasi berbasis komputer. Banyak organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari pekerjaan yang sederhana, seperti perhitungan bunga berbunga sampai penggunaan komputer sebagai bantuan dalam navigasi pesawat terbang atau peluru kendali. Dan banyak pula di antara organisasi tersebut sudah saling terhubung dan terintegrasi. Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan kehidupan manusia.
c. Pengambilan keputusan yang salah akibat informasi yang salah.
Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula.
d. Kerugian karena penyalahgunaan komputer (Computer Abused)
Tema utama yang mendorong perkembangan dalam audit sistem informasi dalam sebuah organisasi bisnis adalah karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan fisik atau mengambil data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak semestinya).
- Hacking - seseorang yang dengan tanpa ijin mengakses sistem komputer sehingga dapat melihat, memodifikasi, atau menghapus program komputer atau data atau mengacaukan sistem.
- Virus – virus adalah sebuah program komputer yang menempelkan diri dan menjalankan sendiri sebuah program komputer atau sistem komputer di sebuah disket, data atau program yang bertujuan mengganggu atau merusak jalannya sebuah program atau data komputer yang ada di dalamnya. Virus dirancang dengan dua tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif dan kedua mengganggu atau merusak sistem operasi, program atau data.
Ø Dampak dari kejahatan dan penyalahgunaan komputer tersebut antara lain:
· Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau hilang dicuri atau dimodifikasi dan disalahgunakan.
· Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau hilang dicuri atau dimodifikasi.
· Aktivitas operasional rutin akan terganggu.
· Kejahatan dan penyalahgunaan komputer dari waktu ke waktu semakin meningkat, dan hampir 80% pelaku kejahatan komputer adalah ‘orang dalam’.
e. Nilai hardware, software dan personil sistem informasi
Dalam sebuah sistem informasi, hardware, software, data dan personil adalah merupakan sumberdaya organisasi. Beberapa organisasi bisnis mengeluarkan dana yang cukup besar untuk investasi dalam penyusunan sebuah sistem informasi, termasuk dalam pengembangan sumberdaya manusianya. Sehingga diperlukan sebuah pengendalian untuk menjaga investasi di bidang ini.
f. Pemeliharaan kerahasiaan informasi
Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.
2.5. Teknik Audit
Ada beberapa teknik audit untuk mengetes automated control. Auditor dapat menggunakan tiga kategori berikut dalam menguji pengendalian biasa juga disebut sebagai teknik audit berbantuan computer / TABK (Computer Assisted Audit Techniques/CAAT) yang terdiri atas:
- Auditing Around the Computer
Dengan teknik ini auditor menguji reliability dari computer generated informationdengan terlebih dahulu menghitung hasil yang diinginkan dari transaksi yang dimasukkan dalam sistem, dan kemudian membandingkan hasil perhitungan dengan hasil proses atau output. Jika terbukti akurat dan valid, maka diasumsikan bahwa sistem pengendalian berfungsi seperti yang seharusnya. Kondisi ini cocok jika sistem aplikasi otomasi sederhana dan ringkas. Pendekatan ini masih relevan dipakai di perusahaan yang menggunakan software akuntansi yang bervariasi dan melakukan proses secara periodic.
- Auditing With the Computer
Adalah auditing dengan pendekatan komputer, menggunakan teknik yang bervariasi yang biasa juga disebut Computer Assisted Audit Technique (CAAT). Penggunaan CAAT telah meningkatkan secara dramatis kapabilitas dan efektifitas auditor, dalam melakukan susbstantif test. Salah satu CAAT yang lazim dipakai adalahgeneral audit software (GAS). GAS sering dipakai untuk melakukan substantive test dan digunakan test of control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi algoritma yang komplek dalam program komputer. Tetapi ini memerlukan pengalaman yang luas dalam penggunaan software ini.
- Audit Through the Computer
Teknik ini fokus pada testing tahapan pemrosesan computerised, logic program, edit routines dan program controls. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dikembangkan dengan baik, dan memenuhi edit routines danprogramme check yang memadai, maka error dan kecurangan tidak akan mudah terjadi tanpa terdeteksi.
2.6. Auditor
Auditor merupakan seseorang yang memiliki kualifikasi tertentu dalam melakukanaudit atas laporan keuangan dan kegiatan suatu perusahaan atau organisasi. Seiring dengan perkembangan teknologi informasi maka berkembang pulalah suatu keahlian dalam profesi auditor, yaitu auditor sistem informasi. Hal ini didasari bahwa semakin banyak transaksi keuangan yang berjalan dalam sebuah sistem komputer. Maka dari itu perlu dibangun sebuah kontrol yang mengatur agar proses komputasi berjalan menjadi baik. Saat ini auditor sistem informasi umumnya digunakan pada perusahaan-perusahaan besar yang sebagian besar transaksi berjalan secara otomatis. Auditor sistem informasi dapat berlatar belakang IT atau akuntansi tentunya dengan kelebihan dan kekurangan masing-masing.
Pada umumnya terdapat tiga jenis auditor, yaitu:
a. Auditor Pemerintah adalah auditor yang bertugas melakukan audit pada instansi-instansi pemerintah.
b. Auditor Intern merupakan auditor yang bekerja pada suatu perusahaan dan oleh karenanya berstatus sebagai pegawai pada perusahaan tersebut. Tugas utamanya ditujukan untuk membantu manajemen perusahaan tempat dimana ia bekerja.
c. Auditor Independen atau Akuntan Publik adalah melakukan fungsi pengauditan yang diterbitkan oleh perusahaan. Pengauditan ini dilakukan pada perusahaan terbuka, yaitu perusahaan yang go public, perusahaan-perusahaan besar dan juga perusahaan kecil serta organisasi-organisasi yang tidak bertujuan mencari laba. Praktik akuntan publik harus dilakukan melalui suatu Kantor Akuntan Publik (KAP).
Syarat-syarat yang harus dimiliki oleh seorang auditor, diantaranya :
a. Audit harus dilaksanakan oleh seorang atau lebih yang memilki keahlian dan pelatihan teknis yang cukup sebagai auditor.
Dalam melaksanakan audit sampai pada suatu pernyataan pendapat, auditor harus senantiasa bertindak sebagai seorang ahli dalam bidang auditing. Pencapaian keahlian tersebut dimulai dari pendidikan formal ditambah dengan pengalaman-pengalaman dalam praktik audit dan menjalani pelatihan teknis yang cukup. Asisten junior yang baru masuk dalam karir auditing harus memperoleh pengalaman profesionalnya dengan mendapatkan supervisi yang memadai dan review atas pekerjaannya dari atasannya yang lebih berpengalaman. Pelatihan yang dimaksudkan disini, mencakup pula pelatihan kesadaran untuk secara terus-menerus mengikuti perkembangan yang terjadi dalam bidang bisnis dan profesinya. Ia harus mempelajari, memahami, dan menerapkan ketentuan-ketentuan baru dalam prinsip dan standar auditing yang telah ditetapkan.
b. Dalam semua hal yang berhubungan dengan perikatan, independensi dan sikap mental harus dipertahankan oleh auditor.
Standar ini mengharuskan seorang auditor bersikap independen, yang artinya seorang auditor tidak mudah dipengaruhi, karena pekerjaannya untuk kepentingan umum. Kepercayaan masyarakat umum atas independensi sikap auditor independen sangat penting bagi perkembangan profesi akuntan publik. Untuk menjadi independen, seorang auditor harus secara intelektual jujur.
Profesi akuntan publik telah menetapkan dalam Kode Etik Akuntan Indonesia, agar anggota profesi menjaga dirinya dari kehilangan persepsi independensi dari masyarakat. Independensi secara intrinsik merupakan masalah mutu pribadi, bukan merupakan suatu aturan yang dirumuskan untuk dapat diuji secara objektif.
Profesi akuntan publik telah menetapkan dalam Kode Etik Akuntan Indonesia, agar anggota profesi menjaga dirinya dari kehilangan persepsi independensi dari masyarakat. Independensi secara intrinsik merupakan masalah mutu pribadi, bukan merupakan suatu aturan yang dirumuskan untuk dapat diuji secara objektif.
c. Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan seksama. Penggunaan kemahiran profesional dengan cermat dan seksama menekankan tanggung jawab setiap profesional yang bekerja dalam organisasi auditor. Selain itu juga menyangkut apa yang dikerjakan auditor dan bagaimana kesempurnaan pekerjaannya tersebut. Seorang auditor harus memiliki “tingkat keterampilan yang umumnya dimiliki” oleh auditor pada umumnya dan harus menggunakan keterampilan tersebut dengan “kecermatan dan keseksamaan yang wajar”. Untuk itu, auditor dituntut untuk memiliki skeptisme profesional dan keyakinan yang memadai dalam mengevaluasi bukti audit.
Berikut ini merupakan peran auditor, yaitu:
1. Perencanaan, Pengendalian dan Pencatatan. Auditor perlu merencanakan, mengendalikan dan mencatat pekerjannya.
2. Sistem Pemrosesan Transaksi. Auditor harus mengetahui dengan pasti sistem pencatatan dan pemrosesan transaksi dan menilai kecukupannya sebagai dasar penyusunan laporan.
3. Bukti Audit. Auditor akan memperoleh bukti audit yang relevan dan reliable untuk memberikan kesimpulan rasional.
4. Pengendalian Intern. Bila auditor berharap untuk menempatkan kepercayaan pada pengendalian internal, hendaknya memastikan dan mengevaluasi pengendalian itu dan melakukan compliance test.
5. Peninjauan Ulang Laporan. Auditor melaksanakan tinjau ulang laporan yang relevan seperlunya, dalam hubungannya dengan kesimpulan yang diambil berdasarkan bukti audit lain yang didapat, dan untuk memberi dasar rasional atas pendapat mengenai laporan yang ada.
