IS Quality Assurance & Control 2

IS Quality Assurance & Control

(Case Study)

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan.

PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.

Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

 

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!
  2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
  3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

 

 

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!

 

Risiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode tertentu. (Arthur Williams dan Richard, M.H)

Risiko adalah ketidakpastian (uncertainly) yang mungkin melahirkan peristiwa kerugian (loss). (A. Abas Salim)

Risiko adalah ketidakpastian atas terjadinya suatu peristiwa. (Soekarto)

Risiko merupakan penyebaran/penyimpangan hasil actual dari hasil yang diharapkan. (Herman Darmawi)

Risiko adalah probabilitas sesuatu hasil/outcome yang berbeda dengan yang diharapkan. (Herman Darmawi)

 

Dari definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan yang tidak diduga/ tidak diinginkan. Dengan demikian risiko mempunyai karakteristik :

  1. Merupakan ketidakpastian atas terjadinya suatu peristiwa.
  2. Merupakan ketidakpastian bila terjadi akan menimbulkan kerugian.

 

Wujud dari risiko itu dapat bermacam-macam, antara lain :

  1. Berupa kerugian atas harta/kekayaan atau penghasilan, misalnya diakibatkan oleh kebakaran, pencurian, pengangguran, dan sebagainya.
  2. Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan.
  3. Berupa tanggung jawab hukum, misalnya risiko dari perbuatan atau peristiwa yang merugikan orang lain.
  4. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadinya perubahan harga, perubahan selera konsumen dan sebagainya.

 

Kapabilitas TI

Teknologi Informasi (TI) jika dilihat secara lebih spesifik tidak berdampak secara langsung kepada tujuan perusahaan. TI berperan sebagai enabler pada perusahaan untuk menunjang aktifitas operasional yang nantinya berdampak langsung kepada tujuan dan strategi perusahaan. Peran TI yang seperti ini lah yang dapat dikatakan sebagai kapabilitas teknologi informasi dalam suatu perusahaan. Adapun beberapa kapabilitas TI pada Bank BTN antara lain :

Perluasan Jaringan Distribusi

Untuk mendukung ekspansi bisnis, keberadaan jaringan baik fisik maupun elektronik perlu dilakukan optimalisasi guna memberikan hasil terbaik. Pengembangan jaringan diarahkan kepada perluasan jaringan fisik serta peningkatan efektivitas jaringan elektronik.

Pengembangan Produk

Dalam rangka mengembangkan dana-dana ritel berorientasi low cost dan memperbaiki komposisi kredit untuk meningkatkan kualitasnya, akan dilakukan pengembangan dan peluncuran beberapa produk dan fitur baru di bidang pembiayaan dan pendanaan.

Peningkatan Kualitas Promosi

Peningkatan kualitas promosi merupakan upaya berkesinambungan dalam meningkatkan image Bank BTN serta melakukan promosi produk dan jasa perbankan, yaitu melalui pemilihan media promosi yang tepat dengan target pasar yang jelas dan penggunaan biaya yang optimal.

Peningkatan Efektivitas Penagihan

Secara umum, strategi penagihan akan tetap diarahkan pada pengurangan debitur non performing dan debitur pada kolektabilitas ‘Dalam Perhatian Khusus’ serta penyelesaian debitur kolektabilitas ‘Macet’.

Optimalisasi Teknologi Informasi

Beberapa proyek TI yang direncanakan akan dilakukan pada 2012, selain melanjutkan proyek-proyek tahun sebelumnya, juga memberikan dukungan kepada divisi lain dalam pengembangan aktivItasnya. Sesuai RSTI 2008-2012, road map pengembangan TI diarahkan menuju Banking 2.0

MANAJEMEN RISIKO TI BAGI PERUSAHAAN

Manajemen risiko merupakan suatu proses pengukuran atau penilaian risiko serta pengembangan strategi pengelolaannya. Strategi yang dapat diambil antara lain adalah menghindari risiko, memindahkan risiko, mengurangi efek negatif risiko dan menampung sebagian atau seluruh konsekuensi atas risiko tersebut. Salah satu manajemen risiko yang dapat digunakan adalah dengan menggunakan ISO 31000 dengan gambaran proses seperti pada gambar dibawah ini :

1

Menentukan Konteks

 Dari sisi peningkatan efisiensi, untuk mendukung kelancaran bisnis serta mengoptimalkan operasional Bank dalam menghadapi harapan nasabah yang semakin tinggi dan kompleks, Bank BTN menerapkan teknologi yang terintegrasi dengan sistem manajemen risiko Bank. Sehingga dapat dilihat secara jelas, Penerapan Teknologi Informasi (TI) berdampak langsung pada risiko operasional perusahaan. Risiko operasional dapat disebabkan ketidakcukupan atau tidak berfungsinya proses internal, kesalahan manusia, atau kegagalan sistem. Risiko operasional dapat menimbulkan kerugian dan berpengaruh luas bagi kinerja perusahaan secara keseluruhan.

Asesmen Risiko

Sesuai Peraturan Bank Indonesia (PBI) No. 9/15/PBI/2007 perihal Penerapan Manajemen Risiko dalam Penggunaan TI oleh Bank Umum, maka diputuskan untuk melakukan uji BCP secara menyeluruh minimal satu kali dalam setahun dan DRP minimal dua kali dalam setahun. Dengan mempertimbangkan kompleksnya operasional perbankan yang berbasis IT, maka diputuskan untuk melakukan assesment terhadap operasional ATM, transaksi dan electronic banking dengan meliputi aspek Governance, Otomasi, Mitigasi Risiko dan Organisasi.

Adapun untuk Bank BTN sendiri akan dilakukan asesmen risiko pada operasional ATM, sms banking, dan software atau aplikasi penunjang operasional Bank (iLoan, HCIS, dll ), serta infrastruktur yang terkait data center.

Identifikasi Risiko

 Pada identifikasi risiko ini dilakukan pengelompokan risiko dari setiap operasional yang terjadi. Identifikasi yang dilakukan menghasilkan beberapa risiko yang mungkin terjadi, antara lain:

 Program Aplikasi BPR

  • Aplikasi gaji
  • Aplikasi bonus
  • Aplikasi akuntansi

Dalam program aplikasi yang diterapkan BPR menggunakan aplikasi yang berbeda risiko yang akan terjadi apabila aplikasi berdeda adalah integrasi yang disesuaikan pada setiap aplikasi. Sangat baik dilakukan apabila aplikasi gaji, bonus dan akuntansi menggunakan 1 bahasa program yang sama yang dapat mengefesienkan kinerja SDM IT pembuatan dan pengembangan aplikasi yang sama. Waktu yang digunakan akan menjadi singkat karena aplikasi yang sama dan tidak membutuhkan banyak programer dalam menangani mentainance aplikasi hanya cukup programer yang menguasai skill contohnya pada aplikadi Oracle.

Perhitungan insentif dan bonus

  • Input
  • Proses
  • Output

Data untuk perhitungan insentif dan bonus di kerjakan pada tim IT dan pasti tanpa kesalahan karena merupakan output komputer tetapi  dalam keamanan komputer terdapat banyak celah untuk mengidentifikasi kesalahan yang mungkin terjadi, jika terjadi kesalahan yang diinput pada tim IT dapat membuat data hasil perhitungan berubah, jika terdapat celah keamanan yang mungkin dapat di crack oleh pihak luar sangat rentan sekali akan terjadi.

Server

  • Server kantor pusat terdapat di Karawang
  • Server kantor cabang tidak memiliki server
  • Anggota tim diberikan fasilitas melakukan transaksi mengunakan fasilitas internet

Keamanan data jika tidak menggunakan server sendiri sangatlah rentan, apalagi jika anggota tim diberikan kebebasan dalam melakukan transaksi menggunakan fasilitasn internet tanpa menggunakan server yang ada. Data berpotensi dicuri jika tidak menggunakan server sehingga untuk kerahasiaan perusahaan dan siklus-siklus proses bisnis perusahaan sangat berkemungkinanan mendapatkan ancaman yang besar. Seperti yang diterapkan dikantor cabang.

Back Up Data

  • Dilakukan sebulan sekali
  • Bentuk softcopy & hardcopy
  • Tidak menggunakan audit log

Untuk keamanan data dari bencana alam atau kerusakan IT jika dilakukan sebulan sekali dalam proses backup data akan berisiko sekali terhadap kehilangan data karena penyimpanan atau pengbackupan dilakukan sebulan.

 

  1. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!

Audit

Pengertian auditing menurut Mulyadi (2010 : 9) adalah :

“Secara umum auditing adalah suatu proses sistemati k untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian anatara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan”.

Pengertian atau definisi menurut Arens et al ( 2008: 4) adalah :

“Auditing is the accumulation and evaluation of evi dence about information to determine and report on the degree of correspondence between the information and established criteria. Auditing should be done by a competent, independent person.

Auditing adalah  pengumpulan  dan  evaluasi  bukti  tentang  informasi  untuk menentukan dan melaporkan derajat kesesuaian antara informasi itu dan kriteria yang telah    ditetapkan. Auditing        harus  dilakukan      oleh    orang  yang   kompeten      dan independen. Dari definisi di atas, dapat disimpulkan beberapa aspek dari audit, yaitu :

  1. Dalam audit dilakukan tindakan-tindakan menyimpulkan (accumulate), mengevaluasi (evaluate), menentukan (determine), dan melaporkan (report).
  2. Untuk melakukan audit, harus tersedia informasi dalam bentuk yang dapat diverifikasi dan beberapa standar (kriteria) yang dapat digunakan auditor untuk mengevaluasi informasi tersebut.
  3. Untuk memenuhi tujuan audit, auditor harus memperoleh bukti dengan kualitas dan jumlah yang mencukupi. Bukti (evidence) adalah setiap informasi yang digunakan auditor untuk menentukan apakah informasi yang diaudit dinyatakan sesuai dengan kriteria yang telah ditetapkan.
  4. Auditor harus memiliki kualifikasi untuk memahami kriteria yang digunakan dan harus kompeten untuk mengetahui jenis serta jumlah bukti yang akan dikumpulkan guna mencapai kesimpulan yang tepat setelah memeriksa bukti itu.

Menurut Boynton, Johnson, Kell (2003) audit adalah :

“Suatu proses sistematis untuk memperoleh serta men gevaluasi bukti secara objektif mengenai asersi-asersi kegiatan dan peristiwa ekonomi, dengan tujuan menetapkan derajat kesesuaian antara asersi-asersi tersebut dengan kriteria yang telah ditetapkan sebelumnya serta penyampaian hasil-hasilnya kepada pihak-pihak yang berkepentingan”.

Beberapa ciri  penting yang ada  dalam definisi tersebut dapat diuraikan

sebagai berikut:

  1. Suatu proses sistematis berupa serangkaian langlah atau proses yang logis, terstruktur, dan terorganisir.
  1. Memperoleh dan mengevaluasi bukti secara objektif berarti memeriksa

dasar  asersi  serta  mengevaluasi hasil  pemeriksaan tersebut  tanpa memihak dan berprasangka, baik untuk atau terhadap perorangan (atau entitas) yang membuat asersi tersebut. Asersi tentang kegiatan dan peristiwa ekonomi merupakan representatif yang dibuat oleh perorangan atau entitas. Derajat kesesuaian menunjuk pada pendekatan di mana asersi dapat diidentifikasi dan dibandingkan dengan kriteria yang telah ditetapkan. Kriteria yang telah ditetapkan adalah standar-standar yang digunakan sebagai dasar untuk menilai asersi atau pernyataan. Penyampaian hasil diperoleh melalui laporan tertulis yang menunjukkan derajat kesesuaian antara asersi dan kriteria yang telah ditetapkan.  Pihak-pihak yang berkepentingan adalah mereka yang menggunakan (atau mengandalkan) temuan-temuan auditor.

Tipe Audit

Audit dapat dibagi menjadi beberapa tipe. Pembagian ini dimaksudkan untuk menentukan tujuan atau sasaran yang ingin dicapai dengan diadakannya suatu kegiatan audit tersebut.

Mulyadi (2010 : 30-32) menyatakan auditing umumnya digolongkan menjadi 3 golongan yaitu audit laporan keuangan, audit kepatuhan, dan audit operasional.

Audit Laporan Keuangan (Financial Statement Audit)

Audit laporan keuangan adalah audit yang dilakukan oleh auditor independen terhadap laporan keuangan yang disajikan oleh kliennya untuk menyatakan pendapat mengenai kewajaran laporan keuangan tersebut. Dalam laporan keuangan ini, auditor independen menilai kewajaran laporan keuangan atas dasar kesesuaiannya dengan prinsip akuntansi berterima umum.

  • Audit Kepatuhan (Compliance Audit)

Audit kepatuhan adalah audit yang tugasnya untuk menentukan apakah yang diaudit sesuai dengan kondisi atau peraturan tertentu. Audit kepatuhan banyak dijumpai dalam pemerintahan.

  • Audit Operasional (Operational Audit)

Audit operasional merupakan review secara sistematik kegiatan organisasi atau bagian dari padanya, dalam hubungannya dengan tujuan tertentu. Tujuan audit operasional adalah untuk :

  • Mengevaluasi kinerja
  • Mengidentifikasi kesempatan untuk peningkatan
  • Membuat rekomendasi untuk perbaikan atau tindakan lebih lanjut.

Audit Operasional

Pengertian Audit Operasional

Menurut Boynton, Johnson, Kell (2003) audit operasional adalah :

“suatu proses sistematis yang mengevaluasi efektivi tas, efisiensi, dan kehematan operasi organisasi yang berada dalam pengendalian manajemen serta melaporkan kepada orang-orang yang tepat hasil-hasil evaluasi tersebut beserta rekomendasi perbaikan.”

Bagian – bagian penting dari definisi ini adalah se bagai berikut :

Proses yang sistematis. Seperti dalam audit laporan keuangan, audit operasional menyangkut serangkaian langkah atau prosedur yang logis, tersruktur, dan terorganisasi.

Mengevaluasi operasi organisasi. Evaluasi atas operasi ini harus didasarkan pada beberapa kriteria yang ditetapkan dan disepakati.

Efektivitas, efisiensi dan kehematan operasi. Tujuan utama dari audit operasional adalah membantu manajemen organisasi yang diaudit untuk meningkatkan efektivitas, efisiensi, dan kehematan operasi.

Melaporkan kepada orang-orang yang tepat. Penerima laporan audit operasional yang tepat adalah manajemen atau individu atau badan yang meminta audit.

Rekomendasi perbaikan. Tidak seperti laporan audit laporan keuangan, audit operasional tidak berakhir dengan menyajikan laporan mengenai temuan. Pengembangan rekomendasi, sebanarnya, merupakan salah satu aspek yang paling menantang dalam jenis audit ini.

Definisi audit operasional yang dikemukakan oleh Arens et al (2008 : 13) yaitu:

“An operational audit evaluates the efficiency and  effectiveness of any part of an organization’s operating procedures and method”.

Audit operasional adalah mengevaluasi efisiensi dan efektivitas setiap bagian dari prosedur dan metode operasi organisasi. Audit operasional lebih berorientasi ke masa  depan, artinya  hasil  dari  penilaian         berbagai         kegiatan         operasional  tersebut diharapkan dapat membantu manajemen dalam meningkatkan efektivitas pencapaian tujuan yang ditetapkan oleh badan usaha.

Audit operasional menurut Strawser, Jerry R and Robert H. Strawser (2001 :20-17) :

“Operational Auditing provides benefits to the orga nization by improving the efficiency, economiy, and effectiveness of its operations”

Menurut American Institute of Certified Public Accountans/ AICPA dalam Strawser, Jerry R and Robert H. Strawser (2001 : 20-23) :

Operational audit is a systematic review of an organization activities….in relation to specified objectives. The purpose of the engagement may be: (a) to asses performance, (b) to identify opportunities for improvement, and (c) to develop recommendation for improvement or further action”.

Dari definisi yang diberikan oleh AICPA tersebut dapat kita lihat bahwa audit operasional merupakan suatu tinjauan yang sistematis dari aktivitas organisasi, hal ini dilakukan untuk mencapai tujuan. Diantara tujuannya itu adalah untuk :

  1. Menilai kinerja
  2. Mengidentifikasi kesempatan untuk perbaikan
  3. Mengembangkan rekomendasi untuk perbaikan atau kegiatan lebih lanjut.

Kriteria dan Ruang Lingkup Audit Operasional

Kesulitan utama yang umumnya dihadapi dalam audit operasional adalah menentukan kriteria audit untuk mengevaluasi efisiensi dan efektivitas organisasi. Berbeda dengan audit keuangan, dalam audit operasional tidak terdapat kriteria tertentu yang berlaku umum untuk setiap audit.

Kriteria adalah nilai-nilai ideal yang digunakan sebagai tolak ukur dalam perbandingan. Dengan adanya kriteria, pemeriksaan dapat menentukan apakah suatu kondisi yang ada menyimpang atau tidak dan kondisi yang diharapkan. Karena pemeriksaan pada intinya merupakan proses perbandingan antara kenyataan yang ada dengan suatu kondisi yang diharapkan maka pada audit operasional pun diperlukan adanya kriteria.

Arens et al (2008 : 847) menyebutkan beberapa kriteria yang dapat digunakan dalam audit operasional, yaitu :

  1. Historical Performance (Kinerja Historis)

Merupakan seperangkat kriteria sederhana yang dapat didasarkan pada hasil audit periode sebelumnya. Gagasan di balik penggunaan kriteria ini adalah membandingkan apakah yang telah dilakukan menjadi “lebih baik” atau “lebih buruk”. Manfaat kriteria ini adalah bah wa kriteria tersebut mudah dibuat, tetapi mungkin tidak memberikan pandangan mendalam mengenai seberapa baik atau buruk sebenarnya unit usaha yang diperiksa dalam melakukan sesuatu.

  1. Benchmarking (Kinerja yang dapat diperbandingkan)

Merupakan kriteria yang ditetapkan berdasarkan hasil yang dicapai oleh organisasi lain yang sejenis. Walaupun penilaian prestasi masa lalu, tetapi hasil penilaian menggunakan kriteria ini pun belum tentu memberikan gambaran yang tepat mengenai keadaan organisasi, karena perbedaan situasi dan kondisi yang dihadapi oleh dua organisasi yang berbeda.

  1. Enginereed Standards (Standar Rekayasa)

Merupakan kriteria yang ditetapkan berdasarkan standar rekayasa, seperti penggunaan time and motion study untuk menentukan banyaknya output yang harus diproduksi.

  • Discussion and Agreement (Diskusi dan Kesepakatan)

Merupakan kriteria yang ditetapkan berdasarkan hasil diskusi dan persetujuan bersama antara manajemen dan pihak-pihak lain yang terlibat dalam audit operasional.

 

 

Ruang lingkup audit operasional menurut Widjayanto, Nugroho (2001 : 19) adalah :

“Audit operasional mencakup tinjauan atas tujuan pe rusahaan, lingkungan perusahaan, lingkungan perusahaan beroperasi, personalia dan kadangkala mencakup fasilitas fisik”.

Jadi dapat disimpulkan bahwa ruang lingkup merupakan seluruh aspek manajemen (baik seluruh atau sebagaian dari program/ aktivitas yang dilakukan), tinjauan kebijaksanaan operasinya, perencanaan, praktik (kinerja), hasil dari kegiatan dalam mencapai tujuan perusahaan. Oleh karena itu, audit dilakukan tidak terbatas hanya pada masalah akuntansinya saja, melainkan dari segala bidang yang berhubungan dengan perusahaan seperti kepegawaian.

Tujuan dan Manfaat Audit Operasional

Keputusan untuk mengadakan pemeriksaan operasional oleh pihak manajemen mempunyai tujuan dan manfaat bagi perusahaan. Tujuan dari pemeriksaan operasional adalah salah satunya dengan melihat sampai mana kemajuan dari perusahaan. Setelah dilakukan audit operasional bisa dilihat oleh manajemen perusahaan apa saja keterbatasan dari perusahaan yang di audit.

Menurut Bayangkara, IBK (2008) :

“Audit operasional bertujuan untuk mengidentifikasi kegiatan, program, dan aktivitas yang masih memerlukan perbaikan, sehingga dengan rekomendasi yang diberikan nantinya dapat dicapai perbaikan atas pengelolaan berbagai program dan aktivitas pada perusahaan tersebut”.

Berkaitan dengan tujuan audit tersebut, titik berat audit diarahkan terutama pada berbagai objek audit yang diperkirakan dapat diperbaiki di masa yang akan datang, di samping juga mencegah kemungkinan terjadinya berbagai kerugian. Audit operasional dapat  memberikan  manfaat  yang sangat berarti bagi  kelanjutan suatu organisasi  kedepannya.  Oleh    karena  itu,  untuk  setiap  organisasi  sangat  penting dilakukannya audit operasional ini.

Menurut Tunggal, Amin Widjaya (2000) ada tiga tujuan dilakukannya audit  operasional yaitu :

  1. Audit operasional dapat dijadikan sebagai alat untuk mengukur prestasi dari setiap bidang-bidang yang dijadikan sebagai objek pemeriksaan. Kriteria prestasi itu dinilai dari tingkat efektivitas dan efisiensi yang dicapai.
  2. Mengidentifikasi kesempatan untuk perbaikan. Pada setiap akhir audit operasional akan dihasilkan suatu laporan yang menjelaskan mengenai hasil pemeriksaan yang telah dilaksanakan. Dengan adanya laporan ini, akan membantu pihak manajemen dalam mengidentifikasi masalah yang timbul di perusahaan.
  3. Membuat rekomendasi untuk perbaikan atau tindakan lebih lanjut. Masalah yang telah diidentifikasi dapat disajikan sebagai dasar bagi pihak manajemen untuk menyusun langkah-langkah perbaikan atau tindak lanjut yang diperlukan.

Dengan tercapainya tujuan tersebut, menurut Tunggal, Amin Widjaya (2000), audit operasional memberikan beberapa manfaat, antara lain sebagai berikut :

  1. Memberikan informasi yang relevan dan tepat waktu untuk pengambilan keputusan.
  2. Membantu manajemen dalam mengevaluasi catatan, laporan dalam pengendalian.
  3. Memastikan ketaatan terhadap kebijakan manajemen yang diharapkan, rencana-rencana, prosedur serta persyaratan peraturan pemerintah.
  4. Mengidentifikasi area masalah potensial pada tahap dini untuk menentukan tindakan yang akan diambil.
  5. Menilai efisiensi pengguna sumber daya.
  6. Menilai efektivitas dalam mencapai tujuan dan sasaran perusahaan yang telah ditetapkan.
  7. Menyediakan tempat pelatihan personil dala fase operasi perusahaan.

 

Dari uraian di atas, manfaat audit operasional berorientasi ke arah peningkatan prestasi manajemen diwaktu yang akan datang yang bermanfaat bagi perusahaan itu sendiri. Hasil audit operasional diharapkan menemui titik fokus permasalahan yang mendasar dalam pelaksanaan kegiatan perusahaan.

Tipe Audit Operasional

Menurut Arens et al (2008 : 844-845) ada 3 tipe audit operasional terdiri dari : 1. Audit Fungsional (Functional Audits)

Audit fungsional berkaitan dengan sebuah fungsi atau lebihh dalam suatu organisasi, misalnya fungsi oengeluaran kas, penerimaan kas, pembayaran gaji. Audit fungsional memungkinkan adanya spesialisasi oleh auditor. Auditor yang merupakan staf dari internal audit dapat lebih efisien memakai seluruh waktu mereka untuk memeriksa dalam bidang tersbut. Tapi di samping itu, audit fungsional memiliki kekurangan yaitu tidak dievaluasinya fungsi yang saling berkaitan.

  1. Audit Organisasional (Organizational Audits)

Audit organisasional menyangkut keseluruhan unit organisasi, seperti departemen, cabang, atau anak perusahaan. Penekanan dalam audit ini adalah seberapan efisien dan efektif fungsi-fungsi saling berinteraksi. Rencana organisasi dan metode-metode untuk mengkoordinsikan aktivitas yang ada, sangat penting untuk audit jenis ini.

  1. Penugasan Khusus (Special Assigments)

Penugasan khusus timbul atas permintaan manajemen, sehingga dalam audit jenis ini terdapat banyak variasi. Misalnya adalah menentukan penyebab sistem EDP yang efektif, penyelidikan kemungkinan fraud dalam suatu divisi dan membuat rekomendasi untuk mengurangi biaya pembuatan suatu barang.

Tahap – Tahap Audit Operasional

Menurut Bank Indonesia No. 1/6/PBI/1999 Tgl. 20 Desember 1999 tentang Penugasan Direktur Kepatuhan dan Penerapan Standar Pelaksanaan Fungsi Audit Intern Bank Umum, pelaksanaan audit dapat dibedakan dalam 5 (lima) tahap kegiatan yaitu tahap persiapan audit, penyusunan program audit, pelaksanaan penugasan audit, pelaporan hasil audit dan tindak lanjut hasil audit.

  1. Persiapan Audit

Pelaksanaan audit harus dipersiapkan dengan baik agar tujuan audit dapat dicapai dengan cara efisien. Langkah yang perlu diperhatikan pada tahap persiapan audit meliputi penetapan penugasan, pemberitahuan audit dan penelitian pendahuluan.

  1. Penetapan penugasan audit dimaksudkan untuk pemberitahuan kepada auditor sebagai dasar untuk melakukan audit sebagaimana ditetapkan dalam rencana audit tahunan bank. Penetapan penugasan disampaikan oleh kepala SKAI kepada ketua dan tim audit dalam bentuk surat penugasan, yang antara lain menetapkan ketua dan anggota tim audit, waktu yang diperlukan serta tujuan audit.
  2. Pelaksanaan Auditor Intern harus dilengkapi dengan surat pemberitahuan audit dari SKAI, yang dapat disampaikan kepada auditee sebelum atau pada saat audit dilaksanakan.
  3. Penelitian pendahuluan dimaksudkan untuk mengenal dan memahami setiap kegiatan atau fungsi Auditee secara umum supaya audit dapat difokuskan pada hal-hal yang strategis. Dalam tahap ini Auditor harus mengenal dengan baik aspek-aspek dari Auditee antara lain fungsi, struktur organisasi, wewenang dan tanggung jawab, kebijakan, sistem dan prosedur operasional, risiko kegiatan dan pengendaliannya, indikator keberhasilan, aspek legal dan ketentuan lainnya.

 

  1. Penyusunan Program Audit

Berdasarkan hasil penelitian pendahuluan, maka disusun program audit. Program audit harus:

  1. merupakan dokumentasi prosedur bagi Auditor Intern dalam mengumpulkan, menganalisis, menginterpretasikan dan mendokumentasikan informasi selama pelaksanaan audit, termasuk catatan untuk pemeriksaan yang akan datang;
  2. menyatakan tujuan audit;
  3. menetapkan luas, tingkat dan metodologi pengujian yang diperlukan guna mencapai tujuan audit untuk tiap tahapan audit;
  4. menetapkan jangka waktu pemeriksaan;

 

  1. mengindentifikasi aspek-aspek teknis, risiko, proses dan transaksi yang harus

diuji, termasuk pengolahan data elektronik.

Adanya program audit secara tertulis akan memudahkan pengendalian audit selama tahap-tahap pelaksanaan. Program audit tersebut dapat diubah sesuai dengan kebutuhan selama audit berlangsung.

  1. Pelaksanaan Penugasan Audit

Tahap pelaksanaan audit meliputi kegiatan mengumpulkan, menganalisis, menginterpretasikan dan mendokumentasikan bukti-bukti audit serta informasi lain yang dibutuhkan, sesuai dengan prosedur yang digariskan dalam program audit untuk mendukung hasil audit. Proses audit meliputi kegiatan-kegiatan sebagai berikut:

  1. Mengumpulkan bukti dan informasi yang cukup, kompeten dan relevan.
  2. Memeriksa dan mengevaluasi semua bukti dan informasi untuk mendapatkan temuan dan rekomendasi audit.
  3. Menetapkan metode dan tehnik sampling yang dapat dipakai dan dikembangkan sesuai dengan keadaan.
  4. Supervisi atas proses pengumpulan bukti dan informasi serta pengujian yang telah dilakukan.
  5. Mendokumentasikan Kertas Kerja Audit.
  6. Membahas hasil audit dengan Auditee.

 

  1. Pelaporan Hasil Audit

Setelah selesai melakukan kegiatan audit, Auditor Intern berkewajiban untuk menuangkan hasil audit tersebut dalam bentuk laporan tertulis. Laporan tersebut harus memenuhi standar pelaporan, memuat kelengkapan materi dan melalui proses penyusunan yang baik. Proses penyusunan laporan perlu dilakukan dengan cermat agar dapat disajikan laporan yang akurat dan bermanfaat bagi Auditee.

Proses tersebut antara lain mencakup:

  1. Kompilasi dan analisis temuan audit. Temuan audit yang akan dituangkan dalam laporan harus dikompilasi dan dianalisis tingkat signifikasinya.
  2. Konfirmasi dengan Auditee. Temuan audit harus dikonfirmasikan dengan Auditee untuk diketahui dan dipahami.
  3. Diskusi dengan Kepala SKAI. Temuan audit yang sudah dikompilasi dan dianalisis harus dilaporkan serta didiskusikan dengan Kepala SKAI atau pejabat yang ditunjuk.
  4. Diskusi dengan Auditee. Diskusi ini dimaksudkan agar Auditee memberikan komitmen dan bersedia melakukan perbaikan dalam batas waktu tertentu yang dijanjikan.
  5. Review laporan. Konsep laporan yang disusun oleh tim audit direview oleh Kepala SKAI atau pejabat yang ditunjuk agar diperoleh keyakinan bahwa laporan tersebut telah lengkap dan benar.
  6. Tindak lanjut Hasil Audit

SKAI harus memantau dan menganalisis serta melaporkan perkembangan pelaksanaan tindaklanjut perbaikan yang telah dilakukan Auditee. Tindak lanjut tersebut meliputi pemantauan atas pelaksanaan tindak lanjut, analisis kecukupan tindak lanjut dan pelaporan tindak lanjut. SKAI harus memantau dan menganalisis serta melaporkan perkembangan pelaksanaan tindaklanjut perbaikan yang telah dilakukan Auditee. Tindak lanjut tersebut meliputi:

  1. Pemantauan atas pelaksanaan tindak lanjut. Pemantauan atas pelaksanaan tindak lanjut harus dilakukan, agar dapat diketahui perkembangannya dan dapat diingatkan kepada Auditee apabila Auditee belum dapat melaksanakan komitmen perbaikan menjelang atau sampai batas waktu yang dijanjikan.
  2. Analisis kecukupan tindak lanjut. Dari hasil pemantauan pelaksanaan tindak lanjut, dilakukan analisis kecukupan atas realisasi janji perbaikan yang telah dilaksanakan Auditee. Selanjutnya pengecekan kembali tindak lanjut perlu dilakukan apabila terdapat kesul itan atau hambatan yang menyebabkan tindak lanjut tersebut tidak dapat dilakukan sebagaimana mestinya.
  3. Pelaporan tindak lanjut. Dalam hal pelaksanaan tindak lanjut tidak dilaksanakan oleh Auditee, maka SKAI memberikan laporan tertulis kepada Direktur Utama dan Dewan Komisaris untuk tindakan lebih lanjut.
  • Pelaksana Audit Operasional

 Dalam bukunya Arens et al (2008 : 845-846) mengemukakan bahwa :

“Operational audit are usually performed by one of three group; internal auditors, government auditor, CPA firms”.

Audit operasional dapat dilaksanakan oleh pihak sebagai berikut :

  1. Auditor Internal

Auditor internal memiliki posisi yang unik untuk melaksanakan audit operasional. Manfaat yang diperoleh jika auuditor internal melakukan audit operasional adalah bahwa mereka menggunakan seluruh waktu kerja untuk perusahaan     yang   mereka       audit.  Untuk memaksimumkan efektivitasnya, bagian audit internal harus melapor kepada dewan direksi atau direktur utama. Auditor internal juga harus mempunyai akses dan mengadakan komunikasi yang berkesinambungan dengan komite auditor dewan direksi. Struktur organisasi ini membantu auditor agar tetap independen.

  1. Auditor Pemerintah

Auditor pemerintah melaksanakan audit operasional yang seringkali merupakan bagian dari pelaksanaan audit keuangan. Auditor pemerintahan tardiri dari para akuntan dari Badan Pemeriksa Keuangan dan Pembangunan (BPKP), dahulu Direktorat Jenderal Pengawasan Keuangan Negara (Departemen Keuangan). Auditor pemerintah biasanya memberi perhatian pada kedua macam pemeriksaan baik untuk keuangan maupun audit operasional.

  1. Auditor Eksternal

Pada waktu akuntan publik melakukan audit atas laporan keuangan historis, sebagian dari audit itu biasanya terdiri dari pengidentifikasian masalah-masalah operasional dan membuat rekomendasi yang dapat bermanfaat bagi klien audit. Rekomendasi itu dapat dikatakan secara lisan, tetapi biasanya menggunakan surat manajemen. Pengetahuan dasar mengenai bisnis klien yang dimiliki auditor eksternal dalam melaksanakan audit seringkali memberikan informasi yang berguna dalam memberikan rekomendasi-rekomendasi operasional. Auditor yang mempunyai latarbelakang bisnis dan pengalaman yang luas dengan perusahaan-perusahaan serupa akan cenderung lebih efektif dalam membantu klien dengan rekomendasi operasional yang relevan dibandingkan dengan yang tidak mempunyai kualitas seperti itu.

 

Jenis-Jenis Audit Sistem Informasi

Menurut Weber, R. (2001), ada beberapa jenis-jenis dalam audit sistem informasi, yaitu sebagai berikut:

Audit Secara Bersamaan (Concurrent Audit)

Auditor merupakan anggota dari tim pengembangan sistem, mereka membantu tim dalam meningkatkan kualitas dan pengembangan untuk sistem spesifikasi yang mereka bangun dan akan diimpilakasikan.

Audit Setelah Implementasi (Post Implementation Audit)

Audito membantu organisasi untuk belajar dari pengalaman pengembangan dari sistem aplikasi. Mereka mengevaluasi apakah sistem perlu dihentikan, dilanjutkan atau di modifikasi.

Audit Umum (General Audit)

Auditor mengevaluasi kontrol pengembangan sistem secara keseluruhan, memberi opini audit tentang pernyataan keungan ataupun tentang keefektifitasan dan keefisienan sistem.

Faktor-faktor yang mendorong pentingnya pengendalian dan audit sistem informasi menuru Ron Weber (2001), yaitu sebagai berikut:

  • Mendeteksi agar komputer tidak dikelola secara kurang terarah, tidak ada visi, misi, perencanaan sistem informasi pimpinan tertinggi organisasi kurang peduli, tidak ada pelatihan dan pola karir personal yang baik dan sebagainya.
  • Mendeteksi resio kehilangan data.
  • Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi yang salah atau tidak lengkap.
  • Menjaga asset perusahaan karena nilai hadrware, sofrware dan personil yang lazimnya tinggi.
  • Mendeteksi error komputer.
  • Mendeteksi resiko penyalahgunaan komputer.

 

Tahapan audit menurut Gallegos. Dalam bukunya “Audit and Control of Information System” yang mencakup beberapa aktivitas yaitu perencanaan, pemeriksaan lapangan, pelaporan dan tindak lanjut.

Perencanaan (Planning)

Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.

Perencanaan meliputi beberapa aktivitas utama, yaitu:

  • Penetapan ruang lingkup dan tujuan audit pada BPR
  • Pengorganisasian tim audit BPR
  • Pemahaman mengenai operasi bisnis klien BPR
  • Kaji ulang hasil audit sebelumnya
  • Penyiapan program audit BPR

 

Pemeriksaan Lapangan (Field Work)

Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.

Pelaporan (Reporting)

Audit Sistem Informasi – Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut pada BPR.

Tindak Lanjut (Follow Up)

Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti pada BPR, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.

Menurut Weber (2001), tahapan-tahapan audit sistem informasi terdiri dari:

Investigasi dan Penyelidikan Awal

Merupakan tahapan pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan yang ada unutk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai melaukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien dan mengidentifikasi area resiko pada BPR.

Pengujian atas Control (Tests of Controls)

Tahap ini dimulai dengan pemfokusan pada pengendalian menegemen, apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian manegemen tidak berjalan sebagai mana mestinya. Apabila auditor menemukan kesalahan yang serius pada pengendalian manegemen, maka mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya pada BPR.

Pengujian atas Transaksi (Tests of Transaction)

Pengujian yang termasuk adalah pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna dalam pengujian ini dan auditor dapat mengunakan software audit yang umum untuk mengecek apakah pembayaran bunya dari bank telak dikalkulasi secara tepat pada BPR.

Pengujian atas Keseimbangan atau Hasill Keseluruhan (Tests of Balances or Overall Results)

Auditor melakukan pengujian ini agar bukti penting dalam penilaian akhir kehilangan atau pencatatan yang keliru yang menyebabkan fungsi sistem informasi gagal dalam memelihara data secara keseluruhan dan mencapai sistem yang efekti dan efesien. Dengan kata lain, dalam tahap ini mementingkan pengamatan asset dan integritas data yang obyektif pada BPR.

Penyelesaian Audit (Completion of The Audit)

Tahap terakhir ini, auditor eksternal melakukan beberapa pengujian tambahan untuk mengoleksi bukti untuk ditutup dengan memberikan pernyataan pendapat pada BPR.

3.Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

 Pada Aplikasi Program sebaiknya diberikan programer yang mempunyai skill dibidang yang ditujukan, dikhususkan menggunakan 1 bahasa pemrograman agar tingkat keefeisenan dalam pelaporan data gaji, bonus dan akuntasi pada BPR relevan dan efektif. Selain itu dapat mengurangi biaya perbaikan dan mentanance jika menggunakan 1 bahasana dan diintegrasi pada setiap program.

Perhitungan insentif dan bonus sebaiknya dilakukan pemeriksaan ulang untuk validasi akurasi dari data yang dioutputkan melalaui komputer, karena yang menginput juga pada tim IT yang tak lepas dari kesalahan penginputan sehingga sebaiknya data harus di cek kembali supaya tepat dan tidak terjadi kesalahan.

Penggunaan server sebaiknya pada kantor cabang diintegrasikan pada server yang sama yaitu server pusat yang ada di karawang, proses bisnis jika menggunakan server yang sama akan semakin cepat dan efesien, membuat sistem keamanan yang tercantum pada server yang sama sehingga risiko terhadap pencurian data dan kerusakan dapat diminimalisirkan. Anggota tim sebaiknya melakukan transaksi menggunakan lan agar kemanan datanya lebih terjamin.

Back up data adalah hal yang paling penting dalam proses bisnis yang ada di BPR, karene proses transaksi dan sebagainya dilakukan setiap hari dan realtime, sangat disarankan melakukan pengbackupan setiap hari agar data yang diproses dapat disimpan untuk menghindari dari bencana internal dan external dan mengantisipasi dari kerusakan yang muncul tiba-tiba. Pemberlakuan audit log sangat disarankan agar dapat dimonitoring dan tidak ada datang yang ketinggalan dapat pengbackupan data.

 

Referensi :

ISACA, COBIT 5: A Business Framework for the Governance and Management of Enterprise IT, 2012

 

Astasari, Voni. Peranan Audit Operasional dalam Meningkatkan Efektivitas Kegiatan Perkreditan (Studi Kasus pada Bank Nagari Cabang Utama Padang). Diss. FAKULTAS EKONOMI, 2010.

International Electronical Commision. (2009). Risk Management – Risk assesment techniques. International Standart IEC/FDIS 31010 .(2009).

Risk managment – Principles guidelines. International Standart ISO 31000 . Switzerland.

Pyle, D. H. (1997). Bank Risk Management : Theory. Berkeley: University of California.

Djojosoedarso, Soeisno. 2003. Prinsip – Prinsip Manajemen Risiko Asuransi. Jakarta : Penerbit Salemba Empat

Astasari, Voni. Peranan Audit Operasional dalam Meningkatkan Efektivitas Kegiatan Perkreditan (Studi Kasus pada Bank Nagari Cabang Utama Padang). Diss. FAKULTAS EKONOMI, 2010.

Satria, Budi. 2009. Peranan Audit Operasional dalam Upaya Meningkatkan Efisiensi dan Efektivitas Fungsi pemasaran perusahaan (Studi Kasus pada PT. Semen Padang Tbk). Padang: Fakultas Ekonomi Universitas Andalas.

Prameswari, Messa. 2008. Audit operasional atas prosedur Pemberian Kredit untuk Meningkatkan Efektivitas dan Efisiensi Pada PT. BNI (Persero) Tbk Wialayah 02 Padang. Padang : Fakultas Ekonomi Universitas Andalas.

Boynton, Johnson, Kell. 2003. Modern Auditing. Jilid I, Edisi ke-7. Jakarta: Erlangga.

Arens, A.Alvin, Elder, J.Randal, Beasley, S.Mark. 2008. Auditing and Assurance Service an Integrated Approach. 12th Edition, Upper Sadel River, New Jersey, Pearson Education International.

2006. Audit Operasional Pengelolaan Dana Kompensasi Subsidi Bahan Bakar Minyak Bidang Kesehatan. Padang

Bayangkara, IBK. 2008. Audit Manajemen (Prosedur dan Implementasi). Jakarta: Salemba Empat.

Hartono, Tri. Evaluasi Penyelesaian Tindak Lanjut Temuan Audit Sebagai Unsur Penilaian Kinerja Manajemen Kantor Cabang (Studi Kasus pada Bank BTN). Diss. Program Pasca Sarjana Universitas Diponegoro, 2006.

Chandra, Ferdinan Kris. Pengaruh Tindakan Supervisi Terhadap Kinerja Auditor Internal dengan Motivasi Kerja sebagai Variabel Intervening (Studi Empiris pada PT. Bank ABC). Diss. Program Pascasarjana Universitas Diponegoro, 2006.

Ramantha, Wayan, and Ni Made Diah Dianawati. “Pengaruh Independensi, Keahlian Profesional Dan Pengalaman Kerja Auditor Internal Terhadap Efektivitas Struktur Pengendalian Internal Bank Perkreditan Rakyat Di Kabupaten Gianyar.” E-Jurnal Akuntansi 4.3 (2013): 439-450.

Sasongko, Nanang. “Pengukuran Kinerja Teknologi Informasi Menggunakan Framework Cobit Versi. 4.1, Ping Test dan Caat pada PT. Bank X Tbk. di Bandung.” Seminar Nasional Aplikasi Teknologi Informasi (SNATI). 2009.

Lismawati, Lismawati. “Pengaruh Independensi, Gaya Kepemimpinan, Komitmen Organisasi, Dan Pemahaman Good Governance Terhadap Kinerja Auditor Pemerintah (Studi Pada Auditor Pemerintah Di BPKP Perwakilan Bengkulu).” (2014).

Kusumaningtyas, Metta. “Pengaruh Independensi Komite Audit dan Kepemilikan Institusional Terhadap Manajemen Laba.” Prestasi Vol. 9 No. 1-Juni 2012 (2012): 1411-1497.

IS Quality Assurance & Control

IS Quality Assurance & Control

  1. Apa yang dimaksud dengan Audit Teknologi Informasi (TI)? Apa saja cakupannya atau yang terlibat didalamnya?
  2. Mengapa kontrol TI dan audit begitu penting di lingkungan virtual saat ini?
  3. Apa saja masalah utama terkait kontrol dan audit di lingkungan global saat ini?
  4. Apa yang dimaksud dengan E-Cash? Apa saja yang menjadi perhatian kontrol TI terkait dengan E-Cash?
  5. Mengapa Auditor TI perlu mengetahui tentang lingkungan hukum Sistem Informasi (SI)?

 

  1. Apa yang dimaksud dengan Audit Teknologi Informasi (TI)? Apa saja cakupannya atau yang terlibat didalamnya?

Audit sistem dan teknologi informasi merupakan proses pengumpulan dan pengevaluasi bukti (evidence) untuk menentukan apakah  sistem informasi dapat melindungi aset dan teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan pada pencapaian tujuan bisnis secara efektif dengan menggunakan  sumber daya secara efektif dan efisien (Sarno, 2009). Dengan demikian, aktivitas audit perlu dilakukan untuk mengukur dan memastikan kesesuaian pengelolaan baik sistem maupun teknologi informasi dengan ketetapan dan standar yang berlaku pada suatu organisasi, sehingga perbaikan dapat dilakukan dengan lebih terarah dalam  kerangka perbaikan berkelanjutan (Sarno, 2009).

Weber (2000) menyatakan beberapa alasan penting mengapa audit SI/TI perlu dilakukan, antara lain adalah karena:

  1. Kerugian Akibat Kehilangan Data
  2. Kesalahan dalam Pengambilan Keputusan
  3. Risiko Kebocoran Data
  4. Penyalahgunaan Komputer
  5. Kerugian Akibat Kesalahan Proses Perhitungan
  6. Tingginya Nilai Investasi Perangkat Keras dan Perangkat Lunak

Secara umum Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.
Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.

Jenis Audit IT.

  1. Sistem dan aplikasi.

Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.

  1. Fasilitas pemrosesan informasi.

Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.

  1. Pengembangan sistem.

Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.

  1. Arsitektur perusahaan dan manajemen TI.

Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.

  1. Client/Server, telekomunikasi, intranet, dan ekstranet.

Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.

Alasan dilakukannya Audit IT.

Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :
1.Kerugian akibat kehilangan data.

2.Kesalahan dalam pengambilan keputusan.

3.Resiko kebocoran data.

4.Penyalahgunaan komputer.

5.Kerugian akibat kesalahan proses perhitungan.

6.Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Manfaat Audit IT.

  1. Manfaat pada saat Implementasi (Pre-Implementation Review)
  2. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
  3. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
  4. Mengetahui apakah outcome sesuai dengan harapan manajemen.
  5. Manfaat setelah sistem live (Post-Implementation Review)
  6. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
  1. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
  2. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
  3. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
  4. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
  5. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.

Terminologi IT Forensics.
A.Bukti digital (digital evidence).

adalah informasi yang didapat dalam bentuk atau format digital, contohnya e-mail.
B.Empat elemen kunci forensik dalam teknologi informasi, antara lain :

1.Identifikasi dari bukti digital.

Merupakan tahapan paling awal forensik dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan dan bagaimana penyimpanannya untuk mempermudah tahapan selanjutnya.
2.Penyimpanan bukti digital.

Termasuk tahapan yang paling kritis dalam forensik. Bukti digital dapat saja hilang karena penyimpanannya yang kurang baik.
3.Analisa bukti digital.

Pengambilan, pemrosesan, dan interpretasi dari bukti digital merupakan bagian penting dalam analisa bukti digital.
4.Presentasi bukti digital.

Proses persidangan dimana bukti digital akan diuji dengan kasus yang ada. Presentasi disini berupa penunjukkan bukti digital yang berhubungan dengan kasus yang disidangkan.

 

  1. Mengapa kontrol TI dan audit begitu penting di lingkungan virtual saat ini?

Teknologi Informasi (TI) akan melanjutkan dampak dramatis secara virtual pada setiap fase audit, dari program audit yang dihasilkan audit sampai software audit yang mampu untuk menguji keseluruhan data klien, tekhnologi sangat esensial untuk akuntan dalam memahami proses bisnis klien dan dihubungkan dengan lingkungan audit yang paperless (Bierstaker, J. L; Burnaby, P.; Thibodeau, J.;2001).

Menurut Glover and Romney (1997) dalam Rezaee, Z.; Reinstein, A. (1998) dampak utama auditing tekhnologi dalam beberapa dekade ini termasuk:

 Lebih sering menggunakan program word processing dan spreadsheet.

 Tekhnologi mengurangi kebutuhan sumber daya manusia.

 Meningkatnya kemampuan komunikasi elektronik.

 Melibatkan peran internal auditor untuk memberikan jasa yang bernilai tambah.

 Memungkinkan monitoring secara kontinyu

 Kertas kerja elektronik lebih merata.

 Meningkatkan prosedur sampling karena teknik EDP yang lebih kuat.

Teknologi Informasi (TI) hampir tidak dapat dipisahkan dengan kegiatan auditing dalam beberapa dekade terakhir. Idelanya, TI akan membantu auditor dalam menyelesaikan tugas dan memberi penjaminan dalam menjawab tantangan baru di dunia bisnis. Secara teknis TI akan membantu penilaian risiko dan penentuan strategi risiko dalam penjaminan yang dilakukan seorang auditor. Peran TI dalam membantu jasa penjaminan oleh seorang auditor sudah tidak diragukan lagi mengingat kegiatan bisnis dewasa ini cenderung menuju ke arah penggunaan TI.

 

  1. Apa saja masalah utama terkait kontrol dan audit di lingkungan global saat ini?

Auditor dituntut berkerja secara profesional dalam melaksanakan tugasnya. Hal ini untuk memenuhi permintaan klien yang menginginkan kualitas audit yang tinggi. Namun kualitas audit dapat berkurang karena tindakan yang dilakukan oleh auditor. Salah satu bentuk perilaku pengurangan kualitas audit (RAQ behaviors) adalah penghentian prematur atas prosedur audit (Malone dan Roberts, 1996 : Coram, et al., 2004) dalam Suryanita et al (2007). Dari 10 prosedur audit yang telah diterangkan sebelumnya di landasan teori, berikut akan dijelsakan di dalam hipotesis 1 (H1)  prosedur audit apa saja yang sering dihentikan/ditinggalkan audit dalam mengaudit laporan keuangan.

Suryanita, et al (2007) menyimpulkan bahwa proses penghentian prematur atas prosedur audit tersebut dapat disebabkan oleh 2 faktor, yaitu faktor karakteristik personal dari auditor (faktor internal) dan faktor situasional saat melakukan audit (faktor eksternal). Faktor internal disini diwakili oleh locus of control dari auditor dan faktor eksternal yang mempengaruhi adalah time pressure, risiko audit, materialitas serta prosedur review dan kontrol kualitas.

Dalam perencanaan audit, auditor harus mempertimbangkan risiko audit. Risiko audit adalah risiko yang terjadi dalam hal auditor, tanpa disadari, tidak memodifikasi pendapatnya sebagaimana mestinya, atas suatu laporan keuangan yang mengandung salah saji material (SA Seksi 312). Saji material bisa terjadi karena adanya kesalahan (error) atau kecurangan (fraud). Error merupakan kesalahan yang tidak disengaja (unintentional mistakes) sedangkan Fraud merupakan kecurangan yang disengaja, bisa dilakukan oleh pegawai perusahaan (misalnya penyalahgunaan harta perusahaan untuk kepentingan pribadi) atau oleh manajemen dalam bentuk rekayasa laporan keuangan.   Risiko audit, dibagi menjadi 2 bagian, yaitu (Mulyadi, 2001):

  1. Risiko audit keseluruhan (Overall audit risk)

Pada tahap perencanaan auditnya, auditor pertama kali harus menentukan risiko audit keseluruhan yang direncanakan. Yang merupakan besarnya risiko yang dapat ditanggung oleh auditor dalam menyatakan bahwa laporan keuangan disajikan secara wajar, padahal kenyataannya laporan keuangan tersebut berisi salah saji material.

  1. Risiko audit individual

Karena audit mencangkup pemeriksaan terhadap akun-akun secara individual, risiko audit keseluruhan harus dialokasikan kepada akun-akun yang berkaitan. Sedangkan unsur-unsur yang terdapat dalam risiko audit adalah :

  1. Risiko bawaan

Adalah kerentanan suatu saldo akun atau golongan transaksi terhadap suatu salah saji material, dengan asumsi tidak terdapat kebijakan dan prosedur pengendalian intern yang terkait.

  1. Risiko pengendalian

Adalah risiko terjadinya salah saji material dalam suatu asersi yang tidak dapat dicegah atau dideteksi secara tepat waktu oleh pengendalian intern suatu entitas. Risiko ini ditentukan oleh efektivitas kebijakan dan prosedur pengendalian intern untuk mencapai tujuan umum pengendalian intern yang relevan dengan audit atas laporan keuangan entitas.

  1. Risiko deteksi

Adalah risiko sebagai akibat auditor tidak dapat mendeteksi salah saji material yang terdapat dalam suatu asersi. Risiko deteksi ditentukan oleh efektivitas prosedur audit dan penerapannya oleh auditor. Risiko ini timbul sebagian karena ketidak paastian yang ada pada waktu auditor tidak memeriksa 100% saldo akun atau golongan transaksi dan sebagian lagi karena ketidak pastian lain yang ada, walaupun saldo akun atau golongan transaksi tersebut diperiksa 100%, risiko audit yang dimaksud adalah risiko deteksi. Karena seperti yang telah dinyatakan sebelumnya bahwa risiko ini menyatakan suatu ketidak pastian yang dihadapi auditor dimana kemungkinan bahan bukti yang telah dikumpulkan oleh auditor tidak mampu untuk mendeteksi adanya salah saji yang material.

 

 

  1. Apa yang dimaksud dengan E-Cash? Apa saja yang menjadi perhatian kontrol TI terkait dengan E-Cash?

E-cash merupakan salah satu bentuk dari electronic payment yang sekarang ini sangat banyak digunakan. E-Cash merupakan gambaran dari simbol elektronik yang memiliki nilai (bit) dan seringkali digunakan dalam transaksi barang dan jasa. E-Cash dipublikasikan oleh institusi legal, perusahaan dan organisasi. E-Cash biasanya memiliki keterbatasan penerimaan (tergantung seberapa besar publisher market-nya) (Trihasta dan Fajaryanti, 2008).

Pada e-cash , diperlukan sebuah tanda tangan digital ( digital signature) dan dilengkapi dengan sepasang kunci publik-privat ( public-private keys).  Digital signature untuk mengotentikasi pemakai kartu dan sepasang kunci publik-privat untuk mengamankan proses pembayaran. Dua hal ini melindungi privasi pemilik kartu dari segala usaha ilegal. Pada e-cash, pelanggan ingin mengirimkan sebuah pesan permintaan ( order message ) pada merchant , dan mengirimkan pesan untuk pembayaran (  payment  message) kepada bank. Bank tidak perlu mengetahui secara detil pesan permintaan dari pelanggan begitu pula merchant . Dua pesan yang dikirimkan kepada dua penerima yang berbeda tersebut dihubungkan pada satu  jalur, dimana jalur tersebut bisa digunakan untuk mengatasi terjadinya perselisihan. Konsep tersebut dinamakan dengan protokol dual signature.

Electronic cash, dikenal dengan e-cash, merupakan salah satu dari e-payment   yang saat ini banyak digunakan.  E-cash juga digambarkan sebagai simbol elektronik yang memiliki nilai berupa bit   dan byte yang digunakan dalam transaksi barang dan jasa. Konsep dari penggunaan e-cash dapat dilihat pada gambar dibawah ini.

 

1

 

Dari gambar tersebut, dapat disimpulkan bahwa cara kerja e-cash adalah sebagai berikut.

1.Pelanggan membeli e-cash melalui bank;

2.Bank mengirim e-cash bits kepada konsumen sesuai nominal yang diisi;

3.Pelanggan mengirimkan e-cash kepada merchant ;

  1. Merchant memeriksa kebeneran informasi dari e-cash tersebut dari bank;

5.Bank mengkonfirmasi jika e-cash tersebut masih berlaku;

6.Transaksi selesai. Fungsi-fungsi keamanan e-cash  sendiri ada 3, yaitu authentication, confidentiality  dan data integrity dan diimplementasikan menggunakan teknologi kriptografi seperti enkripsi dan digital  signature.

Di samping itu, keamanan produk ini sebagian besar menggunakan algoritma RSA. Algoritma RSA, yang dinamai sesuai penemunya, Ron, Adi, dan Adleman, di bidang kriptografi adalah sebuah algoritma pada enkripsi  public key yang cocok untuk digital signature. Algoritma RSA biasa digunakan secara luas dalam protokol e-commerce.

Gambar dibawah adalah gambar untuk mendemonstrasikan algoritma RSA.

1

Pada gambar diatas, dapat dilihat bahwa pengirim akan mengirimkan data ke penerima. Dalam proses pengiriman, RSA akan mengenkripsi data tersebut menggunakan public key penerima menjadi data rahasia. Kemudian, ketika sampai di tempat penerima, RSA akan melakukan dekripsi menggunakan private key penerima untuk membuka data rahasia tersebut. Hal ini dilakukan agar data dapat diterima oleh si penerima. Oleh karena itu, dengan adanya algoritma RSA yang diterapkan pada sistem e-cash, dapat dijamin data yang dikirimkan sampai diterima dijaga keamanannya secara ketat.

 

E-payment bermula saat perkembangan  e-commerce  di puncak kejayaan. Perkembangan yang pesat saat e-commerce terjadi membuat beberapa kalangan untuk mengembangkan suatu produk baru yang mampu membantu kelancaran proses transaksi  e-commerce. Karena e-commerce bekerja secara online, maka produk pendukungnya pun juga berbasis online. Akhirnya muncul system baru pembayaran secara online yang disebut dengan e-payment.

E-payment adalah suatu system yang menyediakan alat-alat untuk pembayaran jasa atau barang-barang yang di lakukan di internet (secara online). E-payment biasanya di gunakan suatu perusahaan dengan menjalin kerja sama dari sejumlah lembaga perbankan. Seiring berkembangnya e-payment yang di gunakan sesuai kebutuhan suatu perusahaan maka berkembanglah beberapa macam bentuk sistem pembayaran e-payment antara lain E-Wallet, E-Cash,  electronic cheque, smartcard.

Sejak tahun 1960an, saat Westminster Bank menginstal pertama kali automated teller machine (ATM) di Victoria, sistem pembayaran yang menggunakan jaringan elektronik mulai sering digunakan pada sektor perbankan dan dunia bisnis, khususnya untuk kegiatan transfer uang dalam jumlah besar. Menurut Federal Financial Institutions Examination Council (2010), pembayaran elektronik adalah praktek pembayaran baru untuk ritel di mana seorang pedagang mengambil informasi pembayaran untuk barang dan jasa dan menempatkan informasi ini dalam sebuah electronic template yang menciptakan file elektronik untuk diproses melalui jaringan kliring.

Pengertian E-Payment atau pembayaran elektronik menurut Trihasta dan Fajaryanti (2008) adalah pembayaran yang dilaksanakan secara elektronik. Pada penelitian yang lain, pengertian online payment mensiratkan bahwa vendor melakukan pemeriksaan terhadap pembayaran yang telah dilakukan oleh pembeli melalui bank sebelum vendor melayani pembelian sang pembeli (Al-Fayoumi, dkk. 2010).

Menurut K. Ayo dan Ukpere (2010), sistem E-Payment dilihat dari proses otomatis moneter yaitu pertukaran nilai antar pihak dalam transaksi bisnis dan transmisi nilai informasi melalui jaringan teknologi informasi dan komunikasi (TIK). Sedangkan menurut Sumanjeet (2009) dalam bentuk yang paling umum, istilah pembayaran elektronik meliputi pembayaran untuk kegiatan bisnis, perbankan atau pelayanan publik dari warga negara atau pelaku bisnis, yang dilakukan melalui telekomunikasi atau jaringan elektronik dengan menggunakan teknologi modern.

Dari pengertian-pengertian diatas, maka dapat disimpulkan pengertian E-Payment adalah suatu sistem pembayaran yang dapat dilakukan oleh beberapa pihak seperti perbankan, pelaku bisnis (vendor ataupun konsumen) dan pelaku sosial yang dilaksanakan secara elektronik melalui suatu jaringan teknologi dan informasi yang canggih.

Manfaat Penggunaan E-Payment

Dalam pengimplementasiannya, e-payment memiliki berbagai manfaat, diantaranya:

  • Meningkatkan efisiensi pembayaran
  • Meningkatkan customer loyality
  • Memberikan keamanan bertransakasi yang lebih dibandingkan cash
  • Meningkatkan efektivitas dan efisiensi waktu
  • Memberikan kemudahan pembyaran dan perluasan media pembayara

Sistem Pembayaran

Sistem pembayaran (E-Paymen System) memerlukan suatu persyaratan yang mencakup :

  1.  Konfidensialitas : Untuk menjamin bahwa konsumen, pedagang dan informasi transaksi pembayaran tetap konfidensial.
  2.  Integritas : Dari semua data yang ditransmisikan melalui jaringan publik seperti Internet
  3. Otentikasi : Dari pihak pembeli maupun pihak pedagang
  4. Keamanan : Berkaitan dengan perlindungan atau jaminan keamanan dari pihak-pihak yang tidak bertanggung jawab
  5. Mekanisme privacy : Untuk pertukaran informasi yangsifatnya umum maupun pertukaran data pembayaran.
  6. Divisibilitas : Berkaitan dengan spesifikasi praktis transaksi baik untuk volumen besar maupun transaksi skala kecil.
  7. Interoperabilitas : Dari perangkat lunak, maupun jaringan dari penerbait kartu kredit dan

perbankan.

Beberapa macam sistem pembayaran (E-Paymen System) antara lain :

  • E-cash merupakan salah satu bentuk dari electronic payment yang sekarang ini sangat banyak digunakan. E-Cash merupakan gambaran dari simbol elektronik yang memiliki nilai (bit) dan seringkali digunakan dalam transaksi barang dan jasa. E-Cash dipublikasikan oleh institusi legal, perusahaan dan organisasi. E-Cash biasanya memiliki keterbatasan penerimaan (tergantung seberapa besar publisher market-nya) (Trihasta dan Fajaryanti, 2008).
  • Smart card didefinisikan sebagai kartu sejenis ATM yang disatukan dengan integrated circuit (IC) yang mana dapat memproses informasi. Smart card juga digunakan untuk menyimpan data pribadi, kesehatan, dan informasi asuransi. Banyak smart card yang menggunakan kombinasi password atau PIN (Trihasta dan Fajaryanti, 2008).
  • Sistem E-Cheque ini sengaja diciptakan untuk mendukung dan memperluas fungsi belanja online dan cara kerjanyapun sama seperti cek kertas konvensional.
  • E-Wallet yaitu Electronic Wallet. Pembayaran dilakukan dengan menyimpan nomor kartu kredit dalam kondisi terenkripsi dengan aman. Pembelian dilakukan pada situs web yang mendukung e-wallet tersebut. Pada saat tombol “pay” ditekan maka proses pembayaran melalui kartu kredit akan dilakukan transaksinya secara aman oleh server perusahaan e-wallet.

 

Pihak-pihak yang terlibat dalam proses e-payment.

Issuer: institusi finansial yang mengeluarkan kartu bank

Cardholder: konsumen yang telah terdaftar di issuer

Merchant: penjual barang/jasa/informasi

Acquirer: institusi finansial yang menyediakan pelayanan untuk memproses transaksi kartu bank

CA: lembaga yang memiliki otoritas untuk mengeluarkan sertifikat digital

Perbandingan Antara Pembayaran Menggunakan E-Payment dengan Pembayaran Secara Konvensional

Jenis Transaksi ->  Proses Transaksi

  1. E-Payment -> Menggunakan metode yang kompleks dalam melakukan proses pembayaran dan memiliki sistem keamanan sendiri (lebih aman)
  2. Konvensional -> Pengisian formulir pembayaran dilakukan secara manual (keamanan tidak terjamin)

Kelebihan Penggunaan E-Payment

E-Payment memiliki beberapa keunggulan atau kelebihan, yaitu:

  • Lebih cepat atau nyaman dalam melkukan transaksi pembayaran
  • Pilihan produk layanan dapat terus ditingkatkan
  • Lebih efektif dan efisien waktu
  • Memberikan keamanan dalam bertransaksi

Kerugian Yang Mungkin Muncul

Selain kelebihan, e-payment juga memiliki kerugian yang mungkin muncul. Kerugian itu diantaranya adalah:

  • Infrastruktur Telekomunikasi di Indonesia masih terbatas dan harganya masih relatif lebih mahal
  • Orang Indonesia masih belum/tidak terbiasa melakukan pembayaran elektronik
  • Masalah keamanan yang membuat orang takut melakukan transaksi
  • Munculnya kejahatan baru
  • Kurangnya pengetahuan IT di Indonesia
  • Tidak semua orang memiliki akses terhadap internet

 

Kontorl IT terhadap E-Cash diantaranya dapat membatu dalam penanganan sistem keamanan yang ada didalam e-cash yang sangat rentan terhadap tidak kriminal di cyber security, dalam penerapan IT dapat dikontol pergerakan dan monitoring yang ada dalam input output keluar masuknya data dari siklur peredaran penggunaan E-Cash.

 

 

  1. Mengapa Auditor TI perlu mengetahui tentang lingkungan hukum Sistem Informasi (SI)?

 

Audit sebuah system teknologi informasi untuk saat ini adalah sebuah keharusan. Audit perlu dilakukan agar sebuat system mampu memenuhi syarat IT Governance. Audit system informasi adalah cara untuk melakukan pengujian terhadap system informasi yang ada di dalam organisasi untuk mengetahui apakah system informasi yang dimiliki telah sesuai dengan visi, misi dan tujuan organisasi, menguji performa system informasi dan untuk mendeteksi resiko-resiko dan efek potensial yang mungkin timbul.

            Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.

Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi  penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.

                       

            Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:

  1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
  2. Tetapkan langkah-langkah audit yang rinci.
  3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
  4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
  5. Telaah apakah tujuan audit tercapai.
  6. Sampaikan laporan kepada pihak yang berkepentingan.
  7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.

 

Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:

  1. Audit subject. Menentukan apa yang akan diaudit.
  2. Audit objective. Menentukan tujuan dari audit.
  3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.
  4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
  5. Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
  6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
  7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
  8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
    • Tujuan, ruang lingkup, lamanya audit, prosedur audit.
    • Kesimpulan umum dari auditor.
    • Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak
    • Tanggapan dari manajemen (bila perlu).
    • Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih

Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu (Watne,  1990) :

  1. Auditing Around The Computer. Pendekatan ini merupakan pendekatan yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh perusahaan diperlakukan sebagai Black Box. Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.
  2. Auditing With The Computer. Pendekatan ini digunakan untuk mengotomatisati banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat lunak  Generalized Audit Software, yaitu program audit yang berlaku umum untuk berbagai klien.
  3. Auditing Through The Computer. Pendekatan ini lebih menekankan pada langkah pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang memadai.

Audit Sistem Informasi dapat dilakukan dengan berbagai macam tahap-tahap. Tahap-tahap audit terdiri dari 5 tahap sebagai berikut :

  1. Tahap pemeriksaan pendahuluan
  2. Tahap pemeriksaan rinci.
  3. Tahap pengujian kesesuaian.
  4. Tahap pengujian kebenaran bukti.
  5. Tahap penilaian secara umum atas hasil pengujian.

 

Tahap Pemeriksaan Pendahuluan.

Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis risiko audit merupakan bagian yang sangat penting. Ini meliputi review atas pengendalian intern. Dalam tahap ini, auditor juga mengidentifikasi aplikasi yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. pada tahap ini pula auditor dapat memutuskan apakah audit dapat diteruskan atau mengundurkan diri dari penugasan audit.

 

Tahap Pemeriksaan Rinci.
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat dipercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.
Tahap Pengujian Kesesuaian.

Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi. Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakan software CAATTs. Pendekatan basis data menggunakan CAATTs dan pengujian substantif untuk memeriksa integritas data. Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan keandalan data itu sendiri.

Tahap Pengujian Kebenaran  Bukti.
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) :
  1. Mengidentifikasi kesalahan dalam pemrosesan data
  2. Menilai kualitas data
  3. Mengidentifikasi ketidakkonsistenan data
  4. Membandingkan data dengan perhitungan fisik
  5. Konfirmasi data dengan sumber-sumber dari luar perusahaan.

 

Tahap Penilaian Secara Umum atas Hasil Pengujian.

Pada tahap ini auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatanya dalam laporan auditan.

Auditor harus mengintegrasikan hasil proses dalam pendekatan audit yang diterapkan audit yang diterapkan. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup : (1) pengendalian umum, (2) pengendalian aplikasi, yang terdiri dari : (a) pengendalian secara manual, (b) pengendalian terhadap output sistem informasi, dan (c) pengendalian yang sudah diprogram.

 

 

Referensi :

Nugroho, Mahendra Adhi. “Audit Lingkungan TI: Perspektif dan dampak pada proses auditing secara komprehensif.” Jurnal Pendidikan Akuntansi Indonesia 9.1 (2011).

Lestari, Ayu Puji, and Surya RAHARJA. Faktor-faktor yang Mempengaruhi Perilaku Auditor dalam Penghentian Prematur Prosedur Audit. Diss. UNIVERSITAS DIPONEGORO, 2010.

Rozas, Indri Sudanawati, and Danar Ayu Ristyantie Effendy. “Mengukur Efektifitas Hasil Audit Teknologi Informasi COBIT 4.1 Berdasarkan Perspektif End User.” Universitas Narotama, Surabaya (2012).

Gandawati, Tri Suci.ANALISIS PROSES ADOPSI ELECTRONIC PAYMENT SYSTEM DENGAN MENGGUNAKAN UTAUT MODEL.Universitas Gunadarma

Pengertian Electronic Commerce.pdf.UNIVERSITAS GUNADARMA

Indah, Sandromedo. (2013). Dual Signature Sebagai Solusi Electronic Cash

Rozas, Indri Sudanawati, and Danar Ayu Ristyantie Effendy. “Mengukur Efektifitas Hasil Audit Teknologi Informasi COBIT 4.1 Berdasarkan Perspektif End User.” Universitas Narotama, Surabaya (2012).

Imbar, Radiant Victor. “Pelaksanaan kontrol dan audit sistem informasi pada organisasi.” Jurnal Informatika 1.1 (2011): pp-11.

Fitrianah, Devi, and Yudho Giri Sucahyo. “Audit Sistem Informasi/Teknologi Informasi Dengan Kerangka Kerja COBIT Untuk Evaluasi Manajemen Teknologi Informasi di Universitas XYZ.” Jurnal Sistem Informasi 4.1 (2012): 37-46.

Wardani, Setia, and Mita Puspitasari. “Audit Tata Kelola Teknologi Informasi Mengunakan Framework Cobit Dengan Model Maturity Level (Studi Kasus Fakultas Abc.” Jurnal Teknologi 7.1 (2014): 38-46.

Dewi, Eva Rusdiana, Haryanto Tanuwijaya, and Ignatius Adrian Mastan. “Audit Sistem Informasi Manajemen Aset Berdasarkan Perspektif Proses Bisnis Internal Balanced Scorecard Dan Standar COBIT 4.1 (Studi Kasus: PT. Pertamina (Persero).” Jurnal JSIKA 1.2 (2012).

Arisanti, Dian. TA: Audit Sistem Informasi Ditinjau dari Perspektif Keuangan Menggunakan Standar Cobit 4.1 Pada Direktorat Keuangan Pelabuhan Indonesia III. Diss. Stikom Surabaya, 2011.

Surbakti, Herison. “Managing control object for IT (COBIT) sebagai standar framework pada proses pengelolaan IT-governance dan audit sistem informasi.” VII Nomor 19Maret 2012-Jurnal Teknologi Informasi (2012).

Iskandar, Teddy, Irman Hermadi, and Arif Imam Suroso. “Audit Proses Perencanaan dan Implementasi Sistem Informasi PT Bank XYZ, Tbk dengan Menggunakan Cobit Framework.” Jurnal Aplikasi Manajemen 12.4 (2015): 572-581.

Suranto, Beni, Farah Fauziyah Hanum, and Kholid Haryono. “Audit Sistem Informasi Rsud Sleman Untuk Monitoring Dan Evaluasi Kinerja Sistem.” Teknik Informatika (2014): 48-50.

Ermana, Fine, Haryanto Tanuwijaya, and Ignatius Adrian Mastan. “Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27001 pada PT. BPR JATIM.” Jurnal JSIKA 1.1 (2012).

Susetyo, Budi. PENGARUH PENGALAMAN AUDIT TERHADAP PERTIMBANGAN AUDITOR DENGAN KREDIBILITAS KLIEN SEBAGAI VARIABEL MODERATING (Survey Empiris Auditor Yang Bekerja Pada Kantor Akuntan Publik dan Koperasi Jasa Audit di Wilayah Jawa Tengah dan Daerah Istimewa Yogyakarta). Diss. UNIVERSITAS DIPONEGORO, 2009.

KUSUMA, RIAWAN ARBI. AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR SNI-ISO 27001 PADA SISTEM INFORMASI AKADEMIK UNIVERSITAS ISLAM NEGERI SUNAN KALIJAGA YOGYAKARTA. Diss. UIN SUNAN KALIJAGA, 2014.

Kawedar, Warsito. “Opini Audit dan Sistem Pengendalian Intern (Studi Kasus di Kabupaten PWJ yang Mengalami Penurunan Opini Audit).” JOURNAL OF ACCOUNTING AND AUDITING 6.1 (2010): 18-26.

Setiawan, Herri, and Khabib Mustofa. “Metode Audit Tata Kelola Teknologi Informasi di Instansi Pemerintah Indonesia.” Jurnal IPTEK-KOM 15.1 (2013): 1-15.