480 likes | 1.03k Views
Standar Audit Sistem Informasi. Tujuan Audit. Effectiveness Efficiency Confidentiality Integrity Availability Compliance Reliability. Tujuan Audit. Effectiveness
E N D
Tujuan Audit • Effectiveness • Efficiency • Confidentiality • Integrity • Availability • Compliance • Reliability
Tujuan Audit • Effectiveness “Deals with information being relevant and pertinent to the business process as well as being delivered in a timely, correct, consistent, and usable manner.” Berhubungan dengan informasi yang relevan dan berhubungan dengan proses bisnis, yang disampaikan dalam waktu yang tepat bener, konsisten, dan dapat digunakan. • Efficiency “Concerns the provision of information through the optimal (most productive and economical) use of resources.” Berhubungan dengan penyediaan informasi melalui penggunaan sumber daya yang optimal (paling produktif dan ekonomis). • Confidentiality “Concerns the protection of sensitive information from unauthorized disclosure.” Berhubungan dengan perlindungan informasi yang bersifat sensitif dari pembeberan rahasia tanpa disertai otoritas.
Tujuan Audit • Integrity “Relates to the accuracy and completeness of information as well as to its validity in accordance with business value and expectations.” Berhubungan dengan ketepatan dan kelengkapan dari suatu informasi serta keabsahan informasi tersebut dalam hubungannya dengan nilai-nilai bisnis dan harapan-harapannya. • Availability “Relates to information being available when required by the business process now and in the future. It also concerns the safeguarding of necessary resources and associated capabilities.” Berhubungan dengan ketersediaan informasi ketika dibutuhkan oleh proses bisnis sekarang dan di masa yang akan datang. Hal ini juga mencakup pengamanan terhadap sumber daya dan kemampuan yang terkait.
Tujuan Audit • Compliance “Deals with complying with the laws, regulations, and contractual arrangements to which the business process is subject-that is, externally imposed business criteria, as well as internal policies” Berhubungan dengan mematuhi hukum, peraturan, dan pengaturan kontrak dimana proses bisnis merupakan subjeknya, dikenakan secara eksternal terhadap kriteria bisnis, dan kebijakan-kebijakan internal. • Reliability “Relates to the provision of appropriate information for management to operate the entity and exercise its fiduciary and governance responsibilities.” Berhubungan dengan penyediaan informasi-informasi yang sesuai dengan pihak manajemen untuk menjalankan entitasnya dan mempraktekan tanggung jawab pemerintahannya.
Pemetaan audit SI pada konstruksi pertanyaan • Who, siapa auditornya, kualifikasi, auditor intern atau ekstern • What, teknik audit yang akan dilakukan: arround, through the computer • How, bagaimana metodologinya whit the computer atau manual saja dalam audit avidence collection and evaluation juga dalam approach atau pendekatan: transactional base, system base, ataukah risk base audit • Why, mengapa perlu dilakukan audit • When, kapan masing-masing sebaiknya dilakukan • Where, pada fungsi yang mana dilakukan pemeriksaan • Which, apa audit objective ny, area apa saja yang perlu diperiksa dan bahan bukti apa yang perlu dikumpulkan
Makin perlu Audit TI • Audit TI makin diperlukan sehubungan dengan resiko yang semakin tinggi dibidang sistem berbasis teknologi informasi, yaitu: • Resiko penggunaan teknologi informasi secara tidak langsung (tidak tepat) • Kesalahan berantai atau pengulangan kesalahan secara cepat/konsisten pada sistem berbasis komputer • Ketidakmampuan menterjemahkan kebutuhan (sistem tidak sesuai) • Konsentrasi tanggungjawab, antara lain konsentrasi data pada satu lokasi atau orang-orang TI • Kerusakan sistem kompunikasi yang dapat berakibat pada proses atau data. • Data input atau informasi bisa saja tidak akurat, kurang mutakhir, palsu • Ketidakmampuan mengendalikan teknologi • Akses sistem ayang tidak terkendali
Metode Audit Sistem Informasi • Audit disekitar komputer (Audit Around The Computer) • Audit melalui komputer (Audit Through The Computer) • Audit dengan komputer (Audit With The Computer)
AUDIT AROUND THE COMPUTER • Audit around the computer dilakukan pada saat: • Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat mata dan dilihat secara visual. • Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan. • Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
AUDIT AROUND THE COMPUTER • Kelebihan: • Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam. • Tidak harus mengetahui seluruh proses penanganan sistem. • Kelemahan: • Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual. • Tidak membuat auditor memahami sistem komputer lebih baik. • Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem. • Lebih berkenaan dengan hal yang lalu daripada audit yang preventif. • Kemampuan komputer sebagai fasilitas penunjang audit mubadzir. • Tidak mencakup keseluruhan maksud dan tujuan audit.
Pengertian Audit through the computer • Audit through the computer adalah dimana auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba proses program dan sistemnya atau yang disebut dengan white box, sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui sistem bagaimana sistem dijalankan pada proses tertentu. • Audit around the computer dilakukan pada saat: • Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya. • Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.
Audit through the computer • Kelebihan: • Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif. • Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi. • Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating. • Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer. • Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya. • Kelemahan: • Biaya yang dibutuhkan relative tinggi karena jumlaj jam kerja yang banyak untuk dapat lenih memahami struktur pengendalian intern dari pelaksanaan system aplikasi. • Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem.
Audit With The Computer • Pendekatan ini dilakukan dengan menggunakan komputer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini merupakan cara audit yang sangat bermanfaat, khususnya dalam pengujian substantif atas file dan record perusahaan. Software audit yang digunakan merupakan program komputer auditor untuk membantu dalam pengujian dan evaluasi kehandalan data, file dan record perusahaan. • Keunggulan menggunakan pendekatan ini adalah dapat melaksanakan tugas audit yang terpisah dari catatan klien yaitu dengan mengambil copy data atau file untuk di test dengan komputer lain. Kelemahannya adalah upaya dan biaya untuk pengembangan relatif besar.
Metode Audit Audit Around The Computer Audit Through The Computer Metode Audit Audit With The Computer
Standar profesional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya. Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan (dalam hal akuntansi di Indonesia, organisasi profesi itu ialah Ikatan Akuntan Indonesia, IAI).
Standar prosedur operasional Standardoperatingprocedures(SOP) adalah suatu perangkat instruksi/ langkah-langkah yang dibakukan untuk menyelesaikan suatu prosedur kerja rutin tertentu. Prosedur tersebut memberikan acuan tentang langkah-langkah yang benar dan terbaik berdasarkan konsensus bersama untuk melaksanakan kegiatan/ tugas atau menjalankan fungsi tertentu sesuai bidang profesinya.
Standar Pemeriksaan Akuntan Publik Standar Pemeriksaan Akuntan Publik (SPAP), khususnya dalam kaitannya dengan general audit adalah: • Standar Umum • Standar Pekerjaan Lapangan • Standar Pelaporan
Standar Umum • Audit harus dilaksanakan oleh sesorang atau lebih yang memiliki keahlian dan pelatihan teknis cukup sebagai auditor. • Dalam semua hal yang berhubungan dengan penugasan, independensi sikap mental harus dipertahankan oleh auditor. • Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan seksama.
StandarPekerjaanLapangan • Pekerjaan harus dilaksanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi dengan semestinya. • Pemahaman yang memadai atas struktur pengendalian intern harus diperoleh untuk merencanakan audit dan menentukan sifat, saat, dan lingkup pengujian yang harus dilakukan. • Bukti audit kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, pengajuan pertanyaan dan konfirmasi sebagai dasar yang memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit.
StandarPelaporan • Laporan audit harus menyatakan apakah laporan keuangan telah disusun sesuai dengan prinsip akuntansi yang berlaku umum. • Laporan audit harus menunjukkan keadaan yang ada didalamnya prinsip akuntansi tidak secara konsisten diterapkan dalam penyusunan laporan keuangan periode berjalan dalam hubungannya dengan prinsip akuntansi yang diterapkan dalam periode sebelumnya. • Pengungkapan informatif dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan lain dalam laporan audit. • Laporan audit harus memuat suatu pernyataan pendapat mengenai laporan keuangan secara keseluruhan atau suatu asersi bahwa pernyataan demikian tidak dapat diberikan. Jika pendapat secara keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan. Dalam semua hal yang mana auditor dihubungkan dengan laporan keuangan, laporan auditor harus memuat petunjuk yang jelas mengenai sifat pekerjaan auditor, jika ada, dan tingkat tanggung jawab yang dipikulnya.
Terkait Audit SI • PSA Nomor 57 • PSA Nomor 59 • PSA Nomor 63 • PSA Nomor 64 • PSA Nomor 65
ISACA IS Auditing Standards • The specialized nature of information systems auditing and the skills and knowledge necessary to perform such audits require globally applicable standards that pertain specifically to information systems auditing • ISACA functions is to provide information to support knowledge requirement
ISACA IS Auditing Standards objectives • Information system auditors of the minimum level of acceptable performance required to meet the professional responsibilities set out in the Code of Professional Ethics for information systems auditors • Management and other interested parties of the profession’s expectations concerning the concerning the work of audit practitioners
The framework of ISACA • Standards define mandatory requirements for IS auditing and reporting • Guidelines provide guidance in applying IS Auditing Standards. The IS auditor should consider them in determining how to achieve implementation of the above standards, use professional judgment in their application and be prepared to justify any departure • Procedures provide examples of procedures an IS auditor might follow in an audit engagement. The procedure documents provide information on how to meet the standards when completing information systems auditing work, but do not set requirements
Standards, Guidelines and procedures Standards defined by ISACA are to be followed by the IS auditor. Guidelines provide assistance on how the auditor can implement standards in various audit assignment. Procedures provide the examples of steps the auditor may follow in specific audit assignment so as to implement the standards. However, the IS auditor should use professional judgment when using guidelines and procedures. Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor. Pedoman memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit. Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar. Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.
ISACA IS Auditing Procedures • Procedures developed by the ISACA Standards Board provide examples of possible process an IS auditor might follow in an audit engagement. • In determining the appropriateness of any specific procedure, IS auditor should apply their own professional judgment to the specific circumstances. The procedure documents provide information on how to meet the standards when performing IS auditor work, but do not set requirements.
IS Auditing Practices and Techniques • Internal Control • Performing an IS audit • Audit Programs • Audit Methodologies • Audit Objectives • Computer Assisted Audit Techniques • Communicating Audit Results • Audit Documentation
Audit Methodologies • Audit subject • Audit objective • Audit scope • Preaudit planning • Audit procedures and steps for data gathering
Audit Methodologies • Procedures for evaluating the test or review results • Procedures to communication with management • Audit report preparation
Standar Audit Sistem Informasi • Standard Audit Sistem Informasi menurut ISACA(Information System Audit and Control Association) : • S1 Audit Charter • S2 Independence • S3 Professional Ethics and Standards • S4 Professional Competence • S5 Planning • S6 Performance of Audit Work • S7 Reporting • S8 Follow up Activities • untuk mendukung hasil pelaporan. • S9 Irregularities and Illegal Acts • S10 IT Governance • S11 Use of Risk Assessment in Audit planning • S12 Audit Materiality • S13 Using the Work of Other Experts • S14 Audit Evidence
ISACA(Information System Audit and Control Association) • S1 Audit Charter • Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis. • Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.
ISACA(Information System Audit and Control Association) • S2 Independence • Professional Independence • Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan. • Organisational Independence • Fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan.
ISACA(Information System Audit and Control Association) • S3 Professional Ethics and Standards • Auditor sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit. • Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.
ISACA(Information System Audit and Control Association) • S4 Professional Competence • Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit. • Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.
ISACA(Information System Audit and Control Association) • S5 Planning • Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku. • Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.
ISACA(Information System Audit and Control Association) • S6 Performance of Audit Work • Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada. • Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada. • Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.
ISACA(Information System Audit and Control Association) • S7 Reporting • Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit. • Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan. • Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit. • Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.
ISII Ikatan Auditor Sistem Informasi Indonesia (IASII) didirikan 20 Mei 2004 di Jakarta. Tujuandidirikannya IASII adalahuntuk: • Menghimpundanmenggalangmasyarakat yang pedulidanberkepentingandenganterselenggaranyapemeriksaan, pengendalian intern, danpengamanan SI. • Sebagaiupayauntukmendorongtumbuhnyatata-kelola yang baikdalampemanfaatansisteminformasipadasektorpublik, entitasswasta, danmasyarakatpadaumumnya.
Tugas Cari artikel berkaitan dengan Kode Etik dan Standar Profesional yang disusun oleh IASII (Ikatan Auditor Sistem Informasi Indonesia)
Diskusi • Jelaskan perbedaan antara IS AuditingStandard, IS AuditingGuidelines, dan IS AuditingProcedures yang disusun oleh ISACA, dan jelaskan hubungan keterkaitan di antara ketiganya! • Sebutkan tujuan atau alasan mengapa ISACA menyusun kode etik Auditor SI. • Sebutkan tujuan/ alasan mengapa ISACA menyusun IS AuditingStandard, IS AuditingGuidelines, dan IS AuditingProcedures.
Diskusi • Jelaskan mengapa IS AuditingStandard, IS AuditingGuidelines, dan IS AuditingProcedures yang disusun oleh ISACA selalu direview secara periodik dan secara terus-menerus disempurnakan? • Sebutkan tanggal terakhir buletin ISACA tentang IS AuditingStandard, IS AuditingGuidelines, dan IS AuditingProcedures pada saat ini.
Diskusi • Jelaskan dan beri contoh yang dimaksud dengan professionalcompetence di bidang audit SI. The End