Auditing
Technologi Informasi muncul seiring dengan pesatnya teknologi informasi. Dimana
peranan computer dalam proses auditing sangat penting. Bahkan sekarang ini
mulai dari input, proses, dan output telah banyak yang menggunakan
computer atau sudah tidak manual lagi.
SEJARAH
Audit
teknologi sistem informasi pada awalnya lebih dikenal sebagai EDP Audit
(Electronic Data Processing) telah mengalami perkembangan yang pesat.
Perkembangan audit teknologi sistem informasi ini didorong oleh kemajuan
teknologi dalam sistem keuangan, meningkatnya kebutuhan akan kontrol informasi
teknologi, dan pengaruh dari komputer itu sendiri untuk menyelesaikan tugas
penting. Sistem keuangan pertama yang menggunakan teknologi komputer muncul
pertama kali tahun 1954. Selama periode 1954 sampai dengan 1960-an profesi audit
masih menggunakan komputer. Pada pertengahan 1960-an terjadi perubahan pada
mesin komputer, dari mainframe menjadi komputer yang lebih kecil dan murah.
Pada tahun 1968, American Institute of Certified Public Accountants (AICPA)
ikut mendukung pengembangan EDP auditing. Sekitar periode ini para auditor
bersama-sama mendirikan Electronic Data Processing Auditors Association
(EDPAA). Tujuan lembaga ini dibuat adalah untuk membuat suatu tuntunan,
prosedur, dan standar bagi audit EDP. Pada tahun 1977, edisi pertama Control
Objectives diluncurkan. Publikasi ini kemudian dikenal sebagai Control
Objectives for Information and Related Technology (CobiT). Tahun 1994, EDPAA
mengubah namanya menjadi Information System Audit (ISACA).
Konsep Auditing System Informasi
Auditing
system informasi digunakan umumnya untuk menjelaskan perbedaan dua jenis
aktivitas yang terkait dengan computer. Seperti untuk menjelaskan proses
mengkaji ulang dan mengevaluasi pengendalian internal dalam sebuah system
pemrosesan data elektronik.
Ada Tiga Pendekatan Auditing
1. Auditing Around Computer (Audit Sekitar Komputer) yaitu dimana
penggunaan komputer pada tahap proses diabaikan.
2. Auditing Throught Computer (Auditing Melalui Komputer) yaitu dimana
pada tahap proses penggunaan komputer telah aktif.
3. Auditing With Computer (Auditing Dengan Komputer) yaitu dimana
input, proses dan output telah menggunakan komputer.
Teknologi Auditing Sistem Informasi
Teknologi auditing sistem
informasi telah berkembang seiring perkembangan sistem computer. Beberapa
teknologi terkait dengan biaya yang cukup signifikan untuk mengimplementasikannya,
sementara teknologi-teknologi lainnya dapat diimplementasikan dengan biaya relative
rendah.
1. Test Data
Data pengujian adalah input yang
disiapkan oleh auditor yang berisi baik input yang berisi data valid dan maupun
tidak valid. Data pengujian dapat digunakan untuk memverifikasi validasi input
transaksi rutin, pemrosesan logika, dan penghitungan rutin program-program
komputer dan untuk memverifikasi penggabungan perubahan-perubahan program.
Dengan melakukan data pengujian, program masa ekonomis produksi reguler dapat digunakan, dan hal ini penting untuk memastikan bahwa data pengujian tidak memengaruhi file-file yang disimpan oleh sistem.
Dengan melakukan data pengujian, program masa ekonomis produksi reguler dapat digunakan, dan hal ini penting untuk memastikan bahwa data pengujian tidak memengaruhi file-file yang disimpan oleh sistem.
Data pengujian dapat dilakukan
dengan membuat bentuk input untuk uji transaksi fiktif atau dengan cara
lainnya, dengan mengkaji ulang data input aktual dan memilih beberapa transaksi
riil untuk pemrosesan sebagai data pengujian. Teknik lainnya yang jarang
digunakan adalah menciptakan data pngujian dengan menggunakan generator data
pengujian yang secara khusus didesain dengan program komputer untuk menciptakan
data komprehensif berdasarkan data input.
2. Integrated Test Facility
ITF menggunakan baik data
pengujian maupun penciptaan record fiktif (vendor, karyawan) pada file master
sebuah sistem computer. ITF pada umumnya digunakan unuk mengaudit sistem
aplikasi komputer besar yang menggunakan teknologi pemrosesan real time.
3. Parallel Simulation
3. Parallel Simulation
Pemrosesan data riil melalui
program audit. Output disimulasikan dan dibandingkan dengan output regular demi
tujuan pengawasan. Simulasi parallel, pemrosesan redundan terhadap seluruh data
input dengan melakukan uji program terpisah, mengizinkan validasi komprehensif
dan sangat tepat dilaksanakan pada transaksi penting yang memerlukan audit
100%. Program audit yang digunakan dalam simulasi paralel biasanya merupakan
jenis program audit umum yang memproses data dan menghasilkan output yang
identik dengan program yang sedang diaudit.
4. Audit software
Program computer yang
memungkinkan computer digunakan sebagai alat auditing. Perangkat lunak yang
konvensional seperti program penggunaan sistem, program pemunculan kembali
informasi, atau bahasa program tingkat tinggi (COBOL) dapat digunakan untuk
kegiatan audit ini.
GAS adalah perangkat lunak audit
yang secara khusus didesain untuk memungkinkan auditor melakukan fungsi
pemrosesan data audit yang terkait. GAS didesain untuk memungkinkan auditor
dengan keahlian komputer yang tidak terlalu canggih untuk menjalankan audit
yang terkait dengan fungsi-fungsi pemrosesan data. Paket-paket tersebut dapat
menjalankan beberapa tugas tertentu seperti menyeleksi data sampel dari
file-file, memeriksa perhitungan, dan mencari file-file untuk item-item yang
tidak biasa.
6. PC Software
Perangkat lunak yang memungkinkan
auditor menggunakan sebuah PC untuk melakukan tugas tugas audit. Paket PC
software general purpose seperti perangkat lunak pengolah kata dan spreadsheet
telah memiliki banyak aplikasi audit.
ACL, yang dipublikasikan oleh ACL software adalah salah satu contoh perangkat lunak audit. Perangkat lunak ini memungkinkan auditor untuk menghubungkan sebuah PC dengan mainframe atau PC klien dan kemudian mengekstrak dan menganalisis data.
ACL, yang dipublikasikan oleh ACL software adalah salah satu contoh perangkat lunak audit. Perangkat lunak ini memungkinkan auditor untuk menghubungkan sebuah PC dengan mainframe atau PC klien dan kemudian mengekstrak dan menganalisis data.
7. Embedded Audit Routine
Rutinitas auditing khusus
dimasukkan dalam program computer regular sehingga data transaksi dapat
dijadikan subjek analisis audit. Kriteria audit untuk menyeleksi dan mencatat
transaksi dengan modul-modul embedded (dilekatkan) harus disediakan oleh
auditor. Dalam pendekatan yang disebut system control audit review file
(SCARF), pengujian-pengujian terhadap edit-program yang ditentukan auditor
untuk membatasi atau menentukan kelayakan, dimasukkan dalam program saat
pertama kali program dikembangkan.
Embedded Audit Routine
Embedded audit routine adalah
sebuah teknologi audit yang meliputi modifikasi program-program komputer demi
tujuan audit. Hal ini dicapai dengan membangun rutin auditing khusus kedalam
program produksi reguler sehinggga data transaksi atau beberapa subbagian
darinya dapat dijadikan subjek bagi analisis audit. Salah satu teknik tersebut
diberinama embedded audit data collection. Teknik ini menggunakan satu atau
lebih modul-modul yang diprogram khusus yang dilekatkan (embedded) sebagai
in-line code dalam kode program reguler untuk menyeleksi dan mencatat data
untuk analisis dan evaluasi berikutnya. Penggunaan in-line code berarti bahwa
program aplikasi menjalankan fungsi pengumpulan data audit bersamaan dengan
program tersebut memproses data untuk tujuan produksi normal.
Kriteria audit untuk menyeleksi
dan mencatat transaksi dengan modul-modul embedded (dilekatkan) harus
disediakan oleh auditor. Hal ini dilakukan dalam banyak cara. Dalam pendekatan
yang disebut system control audit review file (SCARF), pengujian-pengujian
terhadap edit-program yang ditentukan auditor untuk membatasi atau menentukan
kelayakan, dimasukan dalam program saat pertama kali program dikembangkan.
Tujuan pendekatan ini adalah untuk menghasilkan sebuah sampel statistik
transaksi untuk audit selanjutnya. Pendekatan ini disebut Sample Audit Review
File (SARF).
Extended Record
Extended record adalah modifikasi
program komputer untuk menyediakan sebuah rute audit secara komperhensif untuk
transaksi-transaksi tertentu dengan cara mengumpulkannya dalam satu data
tambahan extended record yang berkaitan dengan pemrosesan, yang biasanya tidak
dikumpulkan.
Dengan teknik extended record, transaksi-transaksi khusus akan dipatok pada suatu tempat, dan langkah-langkah proses yang mengganggu yang biasanya tidak disimpan dan ditambahkan pada extended record, yang memungkinkan rute audit direkontruksi untuk transaksi-transaksi tersebut. Extended record berisi data dari seluruh program aplikasi yang terpisah, namun mampu memproses sebuah transaksi dan menyediakan sebuah rute audit yang lengkap. Transaksi-transaksi tersebut dapat diidentifikasi dengan kode-kode khusus, disleksi secara acak, atau dipilih sebagai eksepsi atas uji edit.
Dengan teknik extended record, transaksi-transaksi khusus akan dipatok pada suatu tempat, dan langkah-langkah proses yang mengganggu yang biasanya tidak disimpan dan ditambahkan pada extended record, yang memungkinkan rute audit direkontruksi untuk transaksi-transaksi tersebut. Extended record berisi data dari seluruh program aplikasi yang terpisah, namun mampu memproses sebuah transaksi dan menyediakan sebuah rute audit yang lengkap. Transaksi-transaksi tersebut dapat diidentifikasi dengan kode-kode khusus, disleksi secara acak, atau dipilih sebagai eksepsi atas uji edit.
Snapshot
Snapshot adalah upaya untuk
menyediakan gambaran komprehensif terhadap proses kerja sebuah program pada
suatu titk waktu tertentu. Snapshot merupakan teknik program-debugging yang
umum dikenal. Snapshot merupakan penambahan kode program yang menyebapkan
program mampu mencetak isi area memori tertentu pada saat dan selama proses,
ketika kode snapshot tersebut dijalankan. Snapshot dan extended record
merupakan teknologi yang sangat mirip, dengan snapshot mampu menghasilkan
sebuah rute audit dan extended record mampu menggabungkan data snapshot dalam
extended record, dan bukan dalam bentuk hard copy.
Tracing
Tracing adalah teknik audit
lainnya yang berasal dari program bantu debugging. Penelusuran (tracing) sebuah
eksekusi program menyediakan rute rinci audit atas intruksi-intruksi yang
dijalankan selama pengoprasian program. Tracing biasanya dijalankan dengan
menggunakan sebuah pilihan dalam bahasa kode sumber program (seperti COBOL).
Rute audit yang disediakan oleh tracing tergantung pada paket tracing tertentu.
Bahasa-bahasa program tingkat tinggi ditelusuri pada tingkat sumber laporan,
dan bahasa-bahasa program tingkat yang lebih rendah ditelusuri pada tingkat
yang lebih rinci.
Demi kepentingan audit, tracing
dapat digunakan untuk memverifikasi bahwa pengendalian internal dalam sebuah
program aplikasi dapat dieksekusi ketika program tersebut memproses data
pengujian. Tracing juga dapat mengindikasikan bagian-bagian dalam kode program
yang tidak dieksekusi, yaitu situasi yang didalamnya beberapa kejadian telah
menghasilkan temuan ketidak tepatan atau modifikasi yang tidak diotorisasi pada
sebuah program.
Seluruh teknik embedded audit
routin membutuhkan keahlian teknik yang tinggi ketika teknik-teknik tersebut
untuk pertama kalinya ditetapkan, dan diperlukan pula pengetahuan yang memadai
untuk menggunakan teknik-teknik tersebut dengan efektif. Teknik-teknik tersebut
menjadi jauh lebih mudah diimplementasikan ketika sebuah program dan file-file
untuk sebuah aplikasi desain, dan bukan setelah sistem beroprasi. Tingkat
idenpendensi yang tetap dapat dipertahankan/dijaga oleh auditor sementara
pengembangan sistem-sistem tersebut sangat tergantung pada tingkat keahlian
teknis yang mereka miliki. Bahkan ketika auditor memiliki tingkat keahlian
teknis yang tinggi, pengembangan masih tetap membutuhkan sebuah kerja sama yang
baik antara auditor dan personel sistem.
Dokumen Tinjauan Sistem
Dokumen tinjauan sistem, seperti
deskripsi naratif, flowchart dan daftar program, mungkin merupakan teknik
auditing sistem informasi yang paling tua dan masih tetap digunakan secara
luas. Pendekatan ini akan cocok khususnya pada audit tahap awal sebagai
persiapan untuk seleksi dan penggunaan teknologi audit langsung lainnya.
Jenis kajian ulang lainnya pun
memungkinkan. Seorang auditor dapat meminta personal omputer untuk melakukan
“dump” terhadap sebuah file komputer, yaitu menyediakan bagi auditor sebuah
daftar lengkap isi file. Atau, auditor dapat meminta dump daftar bahasa bahasa
sumber program. Daftar ini dapat di kaji ulang oleh auditor. Program dapat
dicek langsung ( desk checked )oleh auditor.dalam pengecekan langsung , auditor
secara manual memproses data uji atau riil melalui logika program. Flowchat
program dapat dikaji ulang dalam cara yang sama. Kaji ulang sebuah program yang
lebih canggih dapat dilakukan dengan meminta sebuah dump atas kode objek, yaitu
versi bahasa –mesin sebuh program. Jenis lain proses dokumentasi yang dapat di
uji adalah pengoprasian dokumentasi yang dilakukan oleh banyak sitem komputer
sebagai bagian rutin operasi. Rutinitas tersebut meliputi pengumpulan dan
meringkas statistik-statistik yang berkaitan dengan dengan penggunaan
sumberdaya program. Dan tentu saja, statistik itu sangat penting bagi auditor
karena ia menunjukan bagaimana seseorang pengguna sistem, dan menunjukan pula
kapan dan dan sumber daya serta program apa saja yang terlibat di dalamnya.
Flowchart Pengendalian
Dalam banyak kasus, dokumentasi
khusus untuk kepentingan auditing dikaji ulang dan dikembangkan untuk
menunjukan sifat dasar pengendalian aplikasi dalam sebuah sistem. Dokumen ini
disebut Flowchart pengendalian. Flowchart analitik, Flowchart sistem, dan
teknik grafis lainnya digunakan untuk menggambarkan berbagai pengendalian dalam
sebuah sistem. Keunggulan utama Flowchart adalah mudah dipahami oeh auditor,
pengguna, dan personal komputer sehingga dapat memfasilitasi komunikasi antar
pihak yang berbeda.
Mapping
Bukti audit yang lebih bersifat
langsung yang berkaitn dengan program dapat diperoleh dengan memonitor pengoperasian
sebuah program dengan paket pengukuran perangkat lunak khusus. Perangat lunak
khusus ini digunakan untuk memonitor eksekusi sebuah program yang dilakukan
dengan menghitung berapa kali setiap pernyataan dalam tiap program dieksekusi
dan dengan memberikan ringkasan statistik yang berkaitan dengan penggunaan
sumber daya. Walaupun paket pengukuran perangkat lunak dapat memastikan bahwa
langkah-langkah program tertentu telah dijalankan, tetapi ia tidak dapat
memastikan bahwa eksekusi yang dijalankan yang dijalankan telah sesuai urutan
yang tepat.
Pemetaan dapat digunakan secara
efektif bersama-sama dengan teknik data pengujian. Eksekusi sebuah program
dengan data pengujian sebagai input dapat dijadikan sebuah pemetaan. Evaluasi
output pemeantauan perangkat lunak dapat mengindikasikan seberapa luas input
menguji pernyataan-pernyataan program individual.
Berbagai Jenis Audit Sistem Informasi
Pendekatan Umum Pada Audit System
Informasi
Hampir semua pendekatan untuk
sebuah audit system informasi mengikuti beberapa variasi dari sebuah struktur
tiga tahap. Tahap pertama terdiri atas kajian ulang awal dan evaluasi wilayah
yang akan diaudit dan persiapan rencana audit, yang bertujuan menetukan
serangkaian tindakan yang akan dilakukan audit dan meliputi keputusan-keputusan
yang berkaitann dengan wilayah wilayah tertentu yang akan diinvestigasi,
penggunaan tenaga kerja audit, teknologi audit yang akan digunakan, dan
pengembangan anggaran waktu dan atau biaya audit itu sendiri.
Tahap kedua dalam audit sitem
informasi adalah adalah kaji ulang dan evaluasi terperinci. Dalam tahap audit
ini, upaya diarahkan pada penemuan fakta dalam bidang atau wilayah yang dipilih
untuk di audit.
Tahap ketiga dalam audit adalah
pengujian. Tahap pengujian sebuah audit menghasilkan bukti kepatuhan terhadap
prosedur yang telah ditetapkan. Uji kepatuhan dilakukan untuk menyediakan
jaminan kepastian bahwa ada pengendalian internal dan ia lakukan sesuai yang
telah dituliskan dalam dokumentasi sistem.
Audit Aplikasi Sistem Informasi
Pengendalian aplikasi dibagi
menjadi tiga wilayah umum, yaitu input, pemrosesan, output. Audit aplikasi
biasanya meliputi pengkajian ulang pengendalian yang ada disetiap wilayah
tersebut. Teknologi khusus yang digunakan akan tergantung pada kecerdasan dan
sumber daya yang dimiliki auditor. Data pengujian, ITF atau simulasi pararel
dapat digunakan untuk pengendalian uji pemrosesan.
Audit Pengembangan Sistem
Aplikasi
Audit pengembangan sistem
diarahkan pada aktivitas analisis sistem dan programmer yang mengembangkan dan
memodifikasi program-program aplikasi, file, prosedur-prosedur yang terkait.
Pengendalian proses pengembangan sistem mempengaruhi keandalan program program
aplikasi yang dikembangkan. Tiga wilayah umum yang menjadi perhatian audit
dalam proses pengembangan sistem adalah standar pengembangan system, manajemen
proyek, dan pengawasan perubahan program. Teknik audit yang sering digunakan
untuk masing masing area tersebut adalah kaji ulang dan pengujian
dokumentasi-dokumentasi yang terkait.
Standar pengembangan system adalah dokumentasi yang berkaitan dengan desain, pengembangan, dan implementasi system aplikasi.
Pengembangan manajemen proyek mengukur dan mengendalikan kemajuan selama pengembangan system aplikasi. Manajemen proyek terdiri atas perencanaan proyek dan pengawasan proyek. Rencana proyek adalah pernyataan formal rencana kerja rinci dari proyek tersebut.
Standar pengembangan system adalah dokumentasi yang berkaitan dengan desain, pengembangan, dan implementasi system aplikasi.
Pengembangan manajemen proyek mengukur dan mengendalikan kemajuan selama pengembangan system aplikasi. Manajemen proyek terdiri atas perencanaan proyek dan pengawasan proyek. Rencana proyek adalah pernyataan formal rencana kerja rinci dari proyek tersebut.
Audit Pusat Layanan Komputer
Pengendalian umum yang mengatur
operasi pusat layanan computer melengkapi pengendalian aplikasi yang
dikembangkan dalam sistem aplikasi tertentu. Pengendalian umum yang mengatur
operasi computer juga membantu memastikan ketersediaan yang berkesinambungan
atas sumber daya pusat pengendalian lingkungan..
Audit dapat pula dilakukan dalam beberapa bidang. Salah satunya adalah yang berkaitan dengan pengendalian lingkungan. System mainframe yang yang berkaitan dengan pusat layanan komputer besar biasanya memiliki persyaratan suhu dan kelembapan khusus. Ada beberapa hal yang harus diperhatikan dan karenanya pengendalian juga harus diperhatikan untuk mempertahankan kestabilan sumber daya dan juga menyediakan sebuah alternative sumber daya jika terjadi kegagalan.
Pengendalian manajemen atas operasi pusat layanan computer juga bidang yang memerlukan perhatian. Area ini meliputi teknik teknik yang digunakan untuk menganggarkan factor factor beban perlengkapan, statistic penggunaan proyek, anggaran dan kebutuhan perencanaan staf dan rencana akuisisi perlengkapan.
Audit dapat pula dilakukan dalam beberapa bidang. Salah satunya adalah yang berkaitan dengan pengendalian lingkungan. System mainframe yang yang berkaitan dengan pusat layanan komputer besar biasanya memiliki persyaratan suhu dan kelembapan khusus. Ada beberapa hal yang harus diperhatikan dan karenanya pengendalian juga harus diperhatikan untuk mempertahankan kestabilan sumber daya dan juga menyediakan sebuah alternative sumber daya jika terjadi kegagalan.
Pengendalian manajemen atas operasi pusat layanan computer juga bidang yang memerlukan perhatian. Area ini meliputi teknik teknik yang digunakan untuk menganggarkan factor factor beban perlengkapan, statistic penggunaan proyek, anggaran dan kebutuhan perencanaan staf dan rencana akuisisi perlengkapan.
KESIMPULAN
Istilah audit sistem informasi
digunakan secara umum untuk menggambarkan dua jenis aktivitas yang berbeda yang
terkait dengan komputer. Salah satu penggunaan istilah ini adalah untuk
menggambarkan proses pengkajian ulang dan pengevaluasian pengendalian internal
dalam sistem pemrosesan data eektronik. Jenis kegiatan ini digambarkan sebagai
auditing melalui komputer. Penggunaan umum lainnya adalah untuk menggambarkan
penggunaan komputer oleh seorang auditor untuk melakukan beberapa pekerjaan
audit yang biasanya akan dikerjakan secara manual. Jenis aktivitas ini
digambarkan sebagai auditing dengan komputer.
Teknologi audit sistem informasi
telah berkembang seiring perkembangan sistem komputer. Namun demikian, tidak
terdapat teknologi auditing secar keseluruhan. Sebaliknya, terdapat beberapa
teknologi yang dapat digunakan dengan cukup baik untuk mencapai tujuan audit.
Tekologi yang didiskusikan dalam bab ini antara lain adalah data pengujian,
fasilitas uji terintegrasi (ITF), simulasi paralel, dan perangkat lunak audit
secara umum. Teknologi-teknologi audit sistem informasi berbada satu sama lain,
demikian juga keahlian teknis yang diperlukan untuk menggunakan
teknologi-teknologi tersebut. Beberapa teknologi terkait erat dengan biaya yang
cukup signifikan untuk diimplementasikan.
Pendekatan-pendekatan untuk sebuah audit sistem informasi mengikuti babarapa variasi sebuah struktur tiga-tahap. Tahap-tahap tersebut adalah kaji ulang dan evaluasi awal bidang yang akan diaudit, kaji ulang dan evaluasi terperinci, dan pengujian. Terdapat tiga jenis audit sistem informasi, yaitu audit sistem informasi, audit pengembangan sistem aplikasi, dan audit pusat layanan komputer.
Pendekatan-pendekatan untuk sebuah audit sistem informasi mengikuti babarapa variasi sebuah struktur tiga-tahap. Tahap-tahap tersebut adalah kaji ulang dan evaluasi awal bidang yang akan diaudit, kaji ulang dan evaluasi terperinci, dan pengujian. Terdapat tiga jenis audit sistem informasi, yaitu audit sistem informasi, audit pengembangan sistem aplikasi, dan audit pusat layanan komputer.
Referensi
Tidak ada komentar:
Posting Komentar