Dokumen tersebut merangkum laporan audit teknologi sistem informasi yang meliputi:
1. Pendahuluan tentang latar belakang dan tujuan audit
2. Pembahasan mengenai konsep, proses, teknik, standar, dan manajemen risiko audit sistem informasi
3. Metode dan alat yang digunakan dalam audit teknologi sistem informasi
1. UNIVERSITAS GUNADARMA
FAKULTAS ILMU KOMPUTER & TEKNOLOGI INFORMASI
AUDIT TEKNOLOGI SISTEM INFORMASI
Disusun Oleh:
Adam Riyadi Nugraha (10114172)
Kelas 4KA09
2. KATA PENGANTAR
Dengan menyebut nama Allah SWT. yang Maha Pengasih lagi Maha Penyayang, kami
panjatkan puja dan puji syukur atas kehadirat-Nya, yang telah melimpahkan rahmat, hidayah
dan inayah-Nya kepada kami, sehingga kami dapat menyelesaikan laporan Audit Teknologi
Sistem Informasi.
Adapun laporan Audit Teknologi Sistem ini telah kami usahakan semaksimal mungkin
dan tentunya dengan bantuan berbagai pihak, sehingga dapat memperlancar pembuatan laporan
ini. Untuk itu kami tidak lupa menyampaikan banyak terima kasih kepada semua pihak yang
telah membantu kami dalam pembuatan laporan ini.
Namun tidak lepas dari semua itu, kami menyadari sepenuhnya bahwa ada kekurangan
baik dari segi penyusunan bahasanya maupun segi lainnya. Oleh karena itu dengan lapang dada
dan tangan terbuka kami membuka selebar-lebarnya bagi pembaca yang ingin memberikan
kritik dan saran kepada kami sehingga kami dapat memperbaiki laporan Audit Teknologi Audit
Sistem Informasi lebih baik lagi.
Penyusun mengharapkan semoga laporan tentang Audit Teknologi Audit Sistem
Informasi ini berguna sehingga dapat memberikan inspirasi terhadap pembaca.
Penyusun,
Oktober 2017
3. BAB I PENDAHULUAN
1. Latar Belakang Penelitian
Audit Teknologi Informasi merupakan proses pengumpulan dan evaluasi dari semua
kegiatan sistem informasi dalam suatu perusahaan maupun organisasi. Pemanfaatan Teknologi
Informasi sebagai pendukung pencapaian tujuan dan sasaran organisasi harus di imbangi
dengan ke efektifan dan efisiensi pengelolaannya. Maka dari itu, Audit Teknologi Sistem
Informasi sangatlah diperlukan untuk menjaga keamanan sistem informasi sebagai aset
organisasi, untuk mempertahankan integritas informasi yang di simpan dan di olah dan tentu
saja meningkatkan ke efektifan penggunaan teknologi informasi serta mendukung efisiensi
dalam organisasi.
2. Tujuan Penelitian
Adapun tujuan dilakukan penelitian ini adalah :
1. Mampu memahami dari pengertian Audit, Proses Audit, Teknik Audit, Standard dan
Kerangka Kerja Audit serta Manajemen Resiko.
2. Mampu menjelaskan konsep Audit Teknologi Sistem Informasi.
3. Mampu menjelaskan metode dan alat Audit Teknologi Sistem Informasi.
4. Mampu menjelaskan Regulasi Audit Teknologi Sistem Informasi.
4. BAB II PEMBAHASAN
1. Audit
1.1. Pengertian Audit
Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi,
sistem, proses atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak
memihak yang disebut sebagai auditor. Tujuannya adalah untuk melakukan verifikasi bahwa
subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi dan praktik
yang telah disetujui dan diterima.
1.2. Proses Audit
Untuk mengetahui lebih lanjut seperti apa proses audit untuk audit informal, tentunya ini
harus dibuat secara sederhana dan langsung. Berikut langkah-langkah dasar proses audit untuk
audit informal :
1) Bagian audit harus menyetujui waktu dan ruang lingkup informal dengan me-review
orang-orang yang akan diaudit.
2) Auditor yang akan melakukan review harus membuat daftar periksa dasar dari area yang
akan diperiksa.
3) Auditor menjalankan langkah-langkah tersebut, lalu menyimpan catatan sesuai kebutuhan
namun tidak membuat lembar kerja untuk di review.
4) Pada akhir proyek, auditor mengumpulkan semua masalah dari review.
5) Auditor mengadakan rapat debriefing dengan orang-orang yang akan di audit untuk
mendiskusikan isu dan konsultasikan tentang seberapa serius isu dan potensinya yang
berarti untuk mengatasinya.
6) Auditor mendokumentasikan daftar akhir masalah, beserta pemikiran yang relevan
untuk menyelesaikannya, dalam sebuah memo. Memo ini tidak perlu disertakan
tanggal dan bisa termasuk peringatan yang disebutkan sebelumnya (misalnya, ini bukan
audit formal, kami tidak akan melacak masalah, dan sebagainya). Memo itu juga
harus menunjukkan kesediaan auditor untuk terus berkonsultasi dengan tim karena
menangani item ini.
7) Auditor mengeluarkan memo dan arsipnya secara elektronik untuk referensi di kemudian
hari.
Berikut merupakan phase dalam audit :
1. Perencanaan
2. Kerja lapangan dan dokumentasi
3. Terbitkan penemuan dan validasi
4. Solusi pengembangan
5. Melaporkan penyusunan dan penerbitan
6. Pelacakan masalah
5. 1.3. Teknik Audit
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih
dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit,
kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi
audit:
1. Audit subject. Menentukan apa yang akan diaudit.
2. Audit objective. Menentukan tujuan dari audit.
3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit.
4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan,
menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit,
menentukan lokasi audit.
5. Audit procedures and steps for data gathering. Menentukan cara melakukan audit
untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu
evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi
yang diaudit.
1.4. Standard dan Kerangka Kerja Audit
Standar Auditing adalah sepuluh standar yang ditetapkan dan disahkan oleh Institut
Akuntan Publik Indonesia (IAPI), yang terdiri dari standar umum, standar pekerjaan lapangan,
dan standar pelaporan beserta interpretasinya. Standar auditing merupakan pedoman audit atas
laporan keuangan historis. Standar auditing terdiri atas sepuluh standar dan dirinci dalam
bentuk Standar Perikatan Audit (SPA). Dengan demikian SPA merupakan penjabaran lebih
lanjut masing-masing standar yang tercantum di dalam standar auditing.
Standar Perikatan Audit (SPA)
SPA merupakan penjabaran lebih lanjut dari masing-masing standar yang tercantum di
dalam standar auditing. SPA berisi ketentuan-ketentuan dan pedoman utama yang harus diikuti
oleh Akuntan Publik dalam melaksanakan penugasan audit. Kepatuhan terhadap SPA yang
diterbitkan oleh IAPI ini bersifat wajib bagi seluruh anggota IAPI. Termasuk di dalam SPA
adalah Interpretasi Standar Perikatan Audit (ISPA), yang merupakan interpretasi resmi yang
dikeluarkan oleh IAPI terhadap ketentuan-ketentuan yang diterbitkan oleh IAPI dalam SPA.
Dengan demikian, ISPA memberikan jawaban atas pernyataan atau keraguan dalam penafsiran
ketentuan-ketentuan yang dimuat dalam SPA sehingga merupakan perlausan lebih lanjut
berbagai ketentuan dalam SPA.
6. Standar umum
Audit harus dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan pelatihan
teknis yang cukup sebagai auditor. Dalam semua hal yang berhubungan dengan perikatan,
independensi dalam sikap mental harus dipertahankan oleh auditor. Dalam pelaksanaan audit
dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan
cermat dan saksama.
Standar pekerjaan lapangan
Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi
dengan semestinya. Pemahaman memadai atas pengendalian intern harus diperoleh unutk
merencanakan audit dan menentukan sifat, saat, dan lingkup pengujian yang akan dilakukan.
Bukti audit kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, permintaan
keterangan, dan konfirmasi sebagai dasar memadai untuk menyatakan pendapat atas laporan
keuangan yang diaudit.
Standar pelaporan
Laporan auditor harus menyatakan apakah laporan keuangan telah disusun sesuai dengan
prinsip akuntansi yang berlaku umum di Indonesia. Laporan auditor harus menunjukkan atau
menyatakan, jika ada, ketidakkonsistenan penerapan prinsip akuntansi dalam penyusunan
laporan keuangan periode berjalan dibandingkan dengan penerapan prinsip akuntansi tersebut
dalam periode sebelumnya. Pengungkapan informatif dalam laporan keuangan harus
dipandang memadai, kecuali dinyatakan lain dalam laporan auditor. Laporan auditor harus
memuat suatu pernyataan pendapat mengenai laporan keuangan secara keseluruhan atau suatu
asersi bahwa pernyataan demikian tidak dapat diberikan. Jika pendapat secara keseluruhan
tidak dapat diberikan, maka alasannya harus dinyatakan. Dalam hal nama auditor dikaitkan
dengan laporan keuangan, maka laporan auditor harus memuat petunjuk yang jelas mengenai
sifat pekerjaan audit yang dilaksanakan, jika ada, dan tingkat tanggung jawab yang dipikul oleh
auditor.
1.5. Manajemen Resiko
Manajemen risiko adalah suatu pendekatan terstruktur/metodologi dalam mengelola
ketidakpastian yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia termasuk:
Penilaian risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan
menggunakan pemberdayaan/pengelolaan sumberdaya. Strategi yang dapat diambil antara lain
adalah memindahkan risiko kepada pihak lain, menghindari risiko, mengurangi efek negatif
risiko, dan menampung sebagian atau semua konsekuensi risiko tertentu. Manajemen risiko
tradisional terfokus pada risiko-risiko yang timbul oleh penyebab fisik atau legal (seperti
bencana alam atau kebakaran, kematian, serta tuntutan hukum. Manajemen risiko keuangan, di
sisi lain, terfokus pada risiko yang dapat dikelola dengan menggunakan instrumen-instrumen
keuangan.
7. Sasaran dari pelaksanaan manajemen risiko adalah untuk mengurangi risiko yang
berbeda-beda yang berkaitan dengan bidang yang telah dipilih pada tingkat yang dapat diterima
oleh masyarakat. Hal ini dapat berupa berbagai jenis ancaman yang disebabkan oleh
lingkungan, teknologi, manusia, organisasi dan politik. Di sisi lain pelaksanaan manajemen
risiko melibatkan segala cara yang tersedia bagi manusia, khususnya, bagi entitas manajemen
risiko (manusia, staff, dan organisasi).
2. Konsep Audit Teknologi Sistem Informasi
Pencapaian konsep audit itu adalah
Bagian audit internal.
Untuk mempromosikan kontrol internal.
Untuk membantu perusahaan mengembangkan solusi hemat biaya untuk menangani
masalah.
Singkatnya, misi departemen audit internal ada dua:
Memberikan jaminan independen kepada komite audit (dan senior manajemen) bahwa
pengendalian internal berada di tempat di perusahaan dan berfungsi secara efektif.
Untuk memperbaiki keadaan pengendalian internal di perusahaan dengan
mempromosikan pengendalian internal dan dengan membantu perusahaan
mengidentifikasi kelemahan pengendalian dan mengembangkan solusi hemat biaya
untuk mengatasi kelemahan tersebut.
3. Metode dan Alat Audit Teknologi Sistem Informasi
Metode audit
1: Audit Planning
a. Tanggung Jawab: Piagam Audit harus mendefinisikan misi, tujuan, sasaran dan sasaran
Audit Sistem Informasi. Pada tahap ini kami juga mendefinisikan Key Performance
Indicators dan proses Evaluasi Audit.
b. Kewenangan: Piagam Audit harus secara jelas menyebutkan Otoritas yang ditugaskan
ke Auditor Sistem Informasi sehubungan dengan pekerjaan Penilaian Resiko yang akan
dilakukan, hak untuk mengakses informasi Klien, ruang lingkup atau batasan lingkup,
fungsi Klien kepada diaudit dan ekspektasi audit.
c. Akuntabilitas: Piagam Audit harus secara jelas mendefinisikan garis pelaporan,
penilaian, penilaian kepatuhan dan tindakan yang disepakati.
d. Sejumlah alat, seperti berikut ini, khusus untuk membantu auditor berjalan audit pada
database.
8. 2: Risk Assessment and Business Process Analysis
Proses kuantifikasi risiko disebut Risk Assessment. Penilaian Resiko berguna dalam
pengambilan keputusan seperti :
a. Fungsi area / bisnis yang diaudit
b. Sifat, luas dan waktu prosedur audit
c. Jumlah sumber daya yang akan dialokasikan untuk audit
3: Performance of Audit Work
Dalam pelaksanaan Audit Standar Sistem Informasi mengharuskan kami untuk
memberikan pengawasan, mengumpulkan bukti audit dan mendokumentasikan pekerjaan audit
kami. Kami mencapai tujuan ini melalui :
a. Membentuk Proses Pengkajian Internal di mana karya satu orang ditinjau oleh orang
lain, sebaiknya orang yang lebih senior.
b. Kami mendapatkan bukti yang cukup, dapat diandalkan dan relevan untuk diperoleh
melalui Inspeksi, Pengamatan, Permintaan, Konfirmasi dan penghitungan ulang
perhitungan
c. Kami mendokumentasikan pekerjaan kami dengan menggambarkan pekerjaan audit
dan bukti audit dikumpulkan untuk mendukung temuan auditor.
Alat Audit
Tujuan dari panduan ini adalah untuk membantu perusahaan dalam mempersiapkan
laporan audit yang dapat dipahami dan didukung dengan baik yang sesuai dengan persyaratan
Standar Audit dan Jaminan Sistem Informasi (IS) dan Pedoman Audit dan Assurance IS yang
diterbitkan oleh ISACA. Panduan ini juga dirancang untuk membantu memastikan bahwa
ringkasan hasil audit dan hasil audit dipresentasikan dengan jelas dan bahwa laporan audit IS
menyajikan hasil kerja yang dilakukan secara jelas, ringkas dan lengkap.
Panduan ini berlaku untuk audit Sistem Informasi (IS) yang dilakukan oleh auditor
internal, eksternal atau pemerintah, walaupun penekanan yang diberikan pada isi laporan dapat
bervariasi, tergantung pada jenis keterlibatan audit dan oleh siapa tindakan tersebut dilakukan.
Bimbingan juga diberikan pada organisasi laporan, penulisan, review dan editing, dan
presentasi.
9. 4. Regulasi Audit Teknologi Sistem Informasi
Sifat global bisnis dan teknologi mendorong kebutuhan akan standar dan regulasi
yang mengatur bagaimana perusahaan dapat bekerja sama dan bagaimana suatu informasi
dapat dibagi. Dampak regulasi terhadap audit TI berkembang seiring beradaptasinya bisnis
dengan kompleksitasnya yang mematuhi beberapa otoritas. International Association of
Internal Auditors (IIA) dan International Information.
Systems Audit and Control Association (ISACA) menerbitkan panduan untuk
membantu anggota kelompok audit internal dan eksternal ini dalam membangun kontrol
bersama dan proses audit. Teknologi dapat mempengaruhi setiap bagian bisnis. Baik itu tujuan,
pengendalian dan efisien yang terbaik serta teknologi yang menawarkan keunggulan kompetitif.
Sarbanes-Oxley (SOX) Act of 2002 (secara formal dikenal sebagai Perusahaan Publik
Akuntansi Reform and Investor Protection Act) merupakan tanggapan dari pemerintah A.S.
Tujuannya adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan
pengungkapan keuangan, serta menghalangi penipuan perusahaan dan akuntansi. Dengan
demikian, kontrol yang diperlukan untuk kepatuhan terhadap Fokus SOX terletak pada kontrol
kunci penting untuk memastikan kerahasiaan, integritas, dan ketersediaan dari data keuangan.
Secara umum, kontrol TI berikut harus didokumentasikan dan dievaluasi se-efektif mungkin
untuk memenuhi persyaratan SOX :
10. 1) Access control
Administrasi keamanan harus memiliki proses yang terdokumentasi dan akurat untuk
memantau dan memberlakukan kebijakan keamanan yang dictated oleh manajemen.
2) Change control
Untuk memastikan akurasi, kelengkapan, dan integritas pelaporan keuangan, perusahaan
harus memiliki proses pengendalian perubahan yang terdokumentasi dan efektif yang
mencakup perubahan pada aplikasi keuangan, semua aplikasi antarmuka, sistem operasi yang
mengendalikan server desktop dan host, maupun sistem manajemen database, dan jaringan.
Proses perubahan yang diberikan sebagai berikut:
• Poin untuk tinjauan manajemen
• Otorisasi
• Migrasi perubahan komponen
• Perubahan jadwal
• Pelaporan manajemen
• Perubahan komunikasi pada komunitas pengguna
3) Data management
Manajemen data mencakup pengelolaan data logis dan fisik serta identifikasi dan
perlindungan data penting, terutama data yang berkaitan dengan pemrosesan dan pelaporan
keuangan.
4) IT operations
Kontrol operasi TI melampaui pengelolaan perangkat keras dan pusat data yang jelas.
Sehubungan dengan memperoleh lingkungan TI, ada kontrol atas definisi, akuisisi, instalasi,
konfigurasi, integrasi, dan pemeliharaan infrastruktur TI.
5) Network operations
Audit operasi jaringan dan manajemen masalah mencakup tinjauan masuk menunjuk ke
wide area network (WAN) atau local area network (LAN). Konfigurasi firewall eksternal yang
tepat, router, dan modem sangat penting untuk menghindari akses yang tidak sah dan
modifikasi potensial dari aplikasi dan data keuangan perusahaan.
6) Asset management
Audit pengelolaan aset sebagian besar berkaitan dengan otorisasi, pengeluaran keuangan,
serta depresiasi dan pelaporan yang tepat.
11. BAB III KESIMPULAN
3.1 Kesimpulan
Audit Sistem Informasi merupakan suatu kegiatan pemeriksaan yang dilakukan oleh
seorang audit internal perusahaan dalam pengumpulan bukti-bukti dan pengevaluasian
pengendalian perusahaan untuk mencapai tujuan perusahaan dan sesuai dengan kriteria yang
ditentukan.
Audit sistem informasi dibutuhkan dalam suatu organisasi perusahaan untuk
mengetahui apakah suatu pengendalian dalam sistem informasi di sebuah organisasi tersebut
tujuannya sudah tercapai atau belum. Audit internal dalam melakukan audit sistem informasi
diperlukan prosedur pengendalian dan lalu di ujikan,untuk pencapaian tujuan pengendalian
tersebut.
3.2 Saran
Audit sistem informasi sangat penting bagi perusahaan karena dengan adanya audit
sistem informasi disebuah perusahaan, maka perusahaan tersebut akan mengetahui tercapainya
tujuan prosedur pengendalian internal perusahaan atau tidak. Oleh karena itu, sangat dianjurkan
pada perusahaan untuk melakukan audit sistem informasi diperusahaannya.
12. DAFTAR PUSTAKA
Devi Fitrianah & Yudho Giri Sucahyo. 2008. “Audit Sistem Informasi/Teknologi Informasi
dengan Kerangka Kerja Cobit untuk Evaluasi Manajemen Teknologi Informasi di Universitas
XYZ” dalam Jurnal Sistem Informasi Vol 4, No 1. Depok : Universitas Indonesia.
Anonym. “Audit”, https://id.wikipedia.org/wiki/Audit.
Anonym. “Standard Auditing”, https://id.wikipedia.org/wiki/Standar_Auditing.
Anonym. “Manajemen Risiko”, https://id.wikipedia.org/wiki/Manajemen_risiko.
Davis, Chris. 2011. IT Auditing : Using Controls to Protect Information Assets. United States :
The McGraw-Hill Companies.