3.3 Dampak Audit SI Bagi Perusahaan Atau Organisasi Atau Instansi Pemerintah

Ron Weber dalam salah satu bukunya “Information System Control and Audit (Prentice-Hall, 2000)” menyatakan beberapa alasan penting mengapa audit Sistem Informasi perlu dilakukan dalam suatu perusahaan:

1. Mencegah kerugian akibat kehilangan data
2. Menghindari kesalahan dalam pengambilan keputusan
3. Mencegah timbulnya masalah yang disebabkan oleh kesalahan pemrosesan computer
4. Mencegah penyalahgunaan komputer / sistem
5. Mencegah kesalahan pada proses perhitungan
6. Mengurangi biaya investasi untuk perangkat keras dan perangkat lunak komputer pendukung sistem informasi

Dalam lingkup perusahaan, audit sistem informasi dapat ditujukan untuk mengamankan aset-aset perusahaan, menjaga integritas data, menjaga efektivitas sistem, dan mencapai efisiensi sumber daya. Mengamankan aset yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya. Integritas data merupakan data yang memenuhi aspek kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian.

Data yang berintegritas merupakan langkah awal yang penting untuk mendapatkan hasil yang akurat. Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Sistem informasi harus memberikan output berupa informasi yang diperlukan oleh pemegang keputusan. Penilaian efektivitas mengukur apakah kinerja sistem layak dipertahankan, harus ditingkatkan atau perlu dimodifikasi, atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya. Efisiensi sistem informasi juga harus diukur untuk menghasilkan output yang diharapkan dengan sumber daya yang seminimal mungkin.

3.2 Klasifikasi Audit

Berdasarkan luasnya penggunaan komputer dan data yang dihasilkannya Audit EDP diklasifikasikan menjadi 4 jenis, antara lain :

1.  Audit disekitar Komputer

Jenis audit ini dilakukan oleh auditor terhadap hardcopy yang dihasilkan komputer. Sedangkan komputernya sendiri tidak disentuh.

Kelemahannya:

• Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual
• Tidak membuat auditor memahami sistem komputer lebih baik
• Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam system.
• Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif
• Kemampuan komputer sebagai fasilitas penunjang audit mubazir
• Tidak mencakup keseluruhan maksud dan tujuan audit.

2. Audit dengan komputer

Jenis audit ini ditinjau dari auditor yang menggunakan bantuan komputer dalam melakukan audit. Karena itu, organisasi yang di audit mungkin belum menggunakan komputer tetapi auditor dalam melakukan audit dibantu oleh komputer, yaitu ketika menyusun kertas kerja pemeriksaan dan laporan hasil audit.

3. Audit melalui komputer

Jenis audit yang dilakukan terhadap organisasi yang telah menggunakan komputer dalam memproses informasinya, baik secara sempit dan sederhana maupun secara luas dan canggih.Teknik Audit Berbasis Komputer (Komputer Assisted Audit Techniques CAAT) merupakan jenis audit yang dilakukan dengan bantuan software komputer baik yang dibuat sendiri ataupun program paket yang disebut dengan GAS (General Auidt Software).

 source: https://kupasti.wordpress.com/2017/11/24/jenis-jenis-audit-edp/

3.1 Macam - Macam Resiko

1. Risiko Inherent – Atau ‘Inherent Risk’ (IR) adalah risiko yang mungkin timbul akibat karakter bawaan dari suatu transaksi, bisa juga karena : kompleksitas transaksi dan klas transaksi, atau kompleksitas perhitungan, aset yg mudah tercuri/digelapkan, ketiadaan informasi yang sifatnya obyektif. Sudah menjadi pemahaman publik bahwa inherent risk adalah diluar jangkauan auditor dalam melakukan pencegahan. Bahkan, juga diluar kendali pihak auditee sendiri. Jadi dengan kata lain, auditor hanya bisa menemukan tetapi tidak bisa melakukan apa-apa.


2. Risiko Pengendalian – Atau ‘Control Risk’ (CR) adalah risiko yang bisa timbul akibat kelemahan sistim pengendalian intern (SPI) auditee, tak tahu karena desainnya yang lemah atau pelaksanaanya yang tidak sesuai desain—thus tidak mampu mencegah potensi salahsaji bersifat material dan/atau penggelapan (fraud). Jadi CR tidak bisa dikendalikan oleh auditor akan tetapi bisa dikendalikan oleh auditee jika mereka mau.


3. Risiko Deteksi – Atau ‘Detection Risk’ (DR), adalah risiko yang bisa timbul akibat kegagalan auditor dalam menedeteksi adanya salahsaji bersifat material dan/atau penggelapan (fraud). Jadi DR ada dalam kendali auditor. Itu karena DR sepenuhnya ada pada kendali auditor, maka sudah pasti mereka harus berupaya untuk menekan risiko ini hingga ke tingkatakan yang paling minimal (tidak mungkin menghilangkan risiko ini sepenuhnya).

2.4 Pengendalian Jaringan Komputer

Alat bantu (tools) penting yang dapat digunakan oleh operator untuk mengolah wide area network adalah network control terminal. Network control terminal menyediakan akses kepada software system yang khusus untuk mengelolah jenis fungsi, 

Beberapa cara pengendalian jaringan komputer :

·         Memonitor aktivitas jaringan

·         Mengganti nama line komunikasi

·         Mengenerate statistic system

·         Mensetting ulang panjangnya antrian

·         Menambah frekuensi backup

·         Menanyakan status sistem

·         Mengirimkan system warning dan status message

·         Memeriksa lintasan data pada line komunikasi

Contoh : Monitoring jaringan, management trafict networking.

Network control terminal juga dapatdigunakan untuk menjalankan fungsi yang sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan harta dan data integrity, network control terminal adalah komponen yang sangat penting pada suatu jaringan.

2.3 Pengendalian Perangkat Lunak

Menurut Ruppel (2008, hal 53.7-538) adalah sistem pengendalian intern (internal control) pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan/kegiatan/aplikasi tertentu ( setiap aplikasi memiliki karekteristik dan kebutuhan pengendalian yang berbeda ).

•          Boundary : User dengan sistem berbasis teknologi informasi tujuannya untuk mengenal identitas dan otentik/tidaknya pemakai sistem.
•           Otoritas akses ke sistem aplikasi
•            Identifikasi dan otentisitas pengguna
•       Pengendalian masukan yang dirancang dengan tujuan untuk mendapatkan keyakinan bahwa data transaksi input adaah valid, lengkap, serta bebas dari kesalahan dan penyalagunaan

Contoh :

Pengendalian transaksi, karena didesain berkaitan dengan transaksi pada aplikasi tertentu.

2.2 Pengendalian Perangkat Keras

Suatu perangkat keras atau hardware sangat berpengaruh dalam infrastruktur TI dalam suatu instansi dan sangat penting dalam operasional kinerja manajemen internal, lalu ada beberapa cara bagaimana cara pengendalian perangkat keras tersebut.

•        Pengawasan terhadap akses fisik  : untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi.
•       Pengaturan Lokasi Fisik : Lokasi ruang komputer merupakan pertimbangan yang pentin dalam pengendalian keamana komputer.
•           Penggunaan alat pengamanan : Alat – alat penggunaantambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan
•     Pengendalian operasi perangkat : merupakan bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut

Contoh : penjadwalan perawatan perangkat keras, pengamanan lokasi perangkat keras, akses masuk ruangan perangkat keras, maintenance perangkat keras

2.1 Pengendalian Personil (User Pengguna TI)

Personil dalam suatu perusahan atau instansi mempunyai peranan penting dalam pengendalian sistem. Cara pengendalian personil dapat diindikasikan oleh hal-hal berikut :

•         Adanya Prosedur penerimaan dan pemelihan pegawai
•   Adanya program peningkatan keahlian pegawai melalui pelatihan yang berubungan dengan bidang tugasnya.
•         Adanya evaluasi atas pekerjaan  yang dilakukan pegawai
•          Administrasi atas gaji dan prosedur promosi yang jelas
•         Penggunaan uraian tugas
•         Pemilihan dan pelatihan pegawai
•         Penyediaan dan pelatihan
•         Penggiliran pekerjaan (job rotation) dan keharusan mengambil cuti
•          Adanya jenjang karier serta sarana dan aturan untuk mencapainya

Contoh : manajemen perekrutan, promosi, pelatihan pegawai. Sebuah perusahaan membuka lowoangan pekerjaan bagi umum. Untuk meningkatkan semangat pegawai diadakan promosi bagi para pegawainya. Untuk mendapatkan kemampuan skill bagi para pegawai maka diadakan pelatihan di perusahaan.