3.3 Dampak Audit SI Pada Perusahaan Atau Instansi

Perkembangan teknologi telah mengakibatkan perubahan pengolahan data yang dilakukan perusahaan dari sistem manual menjadi secara mekanis, elektromekanis, dan selanjutnya ke sistem elektronik atau komputerisasi. Peralihan ke sistem yang terkomputerisasi memungkinkan data yang kompleks dapat diproses dengan cepat dan teliti, guna menghasilkan suatu informasi. Dalam mendukung aktivitas sebuah organisasi, informasi menjadi bagian yang sangat penting baik untuk perkembangan organisasi maupun membaca persaingan pasar. Dalam hal proses data menjadi suatu informasi merupakan sebuah kegiatan dalam organisasi yang bersifat repetitif sehingga harus dilaksanakan secara sistematis dan otomatis.

Dengan demikian, sangat diperlukan adanya pengelolaan yang baik dalam sistem yang mendukung proses pengolahan data tersebut. Dalam sebuah organisasi tata kelola sistem dilakukan dengan melakukan audit. Menurut Juliandarini (2013) Audit sistem informasi (Information Systems (IS) audit atau Information technology (IT) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur sistem informasi secara menyeluruh.Menurut Romney (2004) audit sistem informasi merupakan tinjauan pengendalian umum dan aplikasi untuk menilai pemenuhan kebijakan dan prosedur pengendalian internal serta keefektivitasannya untuk menjaga asset.

Sehingga menurut uraian teori diatas, maka penulis dapat simpulkan bahwa audit sistem informasi adalah suatu proses pengumpulan dan pengevaluasian bahan bukti audit untuk menentukan apakah sistem komputer perusahaan telah menggunakan asset sistem informasi secara tepat dan mampu mendukung pengamanan asset tersebut memelihara kebenaran dan integritas data dalam mencapai tujuan perusahaan yang efektif dan efisien.

Menurut Weber (1999) terdapat beberapa alasan mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh organisasi:

1.       Pencegahan terhadap biaya organisasi untuk data yang hilang

Kehilangan data dapat terjadi karena ketidakmampuan pengendalian terhadap pemakaian komputer. Kelalaian dengan tidak menyediakan backup yang memadai terhadap file data, sehingga kehilangan file dapat terjadi karena program komputer yang rusak, adanya sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.

2.       Pengambilan keputusan yang tidak sesuai

Membuat keputusan yang berkualitas tergantung pada kualitas data yang akurat dan kualitas dari proses pengambilan keputusan itu sendiri. Pentingnya data yang akurat bergantung kepada jenis keputusan yang akan dibuat oleh orang – orang yang berkepentingan di suatu organisasi.

3.       Penyalahgunaan komputer

Penyalahgunaan komputer memberikan pengaruh kuat terhadap pengembangan EDP audit maka untuk dapat memahami EDP audit diperlukan pemahaman yang baik terhadap beberapa kasus penyalahgunaan komputer yang pernah terjadi.

4.       Nilai dari perangkat keras komputer, perangkat lunak dan personel

Disamping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional dan bila software dicuri maka informasi yang rahasia dapat dijual kepada kompetitor. Personel adalah sumber daya yang paling berharga, mereka harus dididik dengan baik agar menjadi tenaga handal dibidang komputer yang profesional.

5.       Biaya yang tinggi untuk kerusakan komputer

Saat ini pemakaian komputer sudah sangat meluas dan dilakukan juga terhadap fungsi kritis pada kehidupan kita. Kesalahan yang terjadi pada komputer memberikan implikasi yang luar biasa, sebagai contoh data error mengakibatkan jatuhnya pesawat di Antartika yang menyebabkan 257 orang meninggal atau seseorang divonis masuk penjara karena kesalahan data di komputer.

6.       Kerahasiaan

Banyak data tentang diri pribadi yang saat ini dapat diperoleh dengan cepat, dengan adanya komputerisasi kependudukan maka data mengenai seseorang dapat segera diketahui termasuk hal – hal pribadi.

7.       Pengontrolan penggunaan komputer

Teknologi adalah hal yang alami, tidak ada teknologi yang baik atau buruk. Pengguna teknologi tersebut yang dapat menentukan apakah teknologi itu akan menjadi baik atau malah menimbulkan gangguan. Banyak keputusan yang harus diambil untuk mengetahui apakah komputer digunakan untuk suatu hal yang baik atau buruk.

Menurut Weber (1999) terdapat beberapa alasan mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh organisasi:

1.       Mengamankan asset

Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras, perangkat lunak, fasilitas, manusia, file data, dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dngan aktiva – aktiva lainnya, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras bisa rusak karena unsur kejahatan ataupun sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat dihancurkan atau digunakan untuk tujuan yang tidak diotorisasi. Karena konsentrasi aktiva tersebut berada pada lokasi pusat sistem informasi, maka pengamanannya pun menjadi perhatian dan tujuan yang sangat penting.

2.       Menjaga integritas data

Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan (completeness), sehat dan jujur (soundness), kemurnian (purity), ketelitian (veracity). Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.

3.       Menjaga efektivitas sistem

Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, auditor sistem informasi harus tahu mengenai kebutuhan pengguna sistem atau pihak-pihak pembuat keputusan yang terkait dengan layanan sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan / informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.

4.       Mencapai efisiensi sumber daya

Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Efisiensi sistem pengolahan data menjadi penting apabila tidak ada lagi kapasitas sistem yang menganggur.

Dalam lingkup perusahaan, audit sistem informasi dapat ditujukan untuk mengamankan aset-aset perusahaan, menjaga integritas data, menjaga efektivitas sistem, dan mencapai efisiensi sumber daya. Mengamankan aset yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya. Integritas data merupakan data yang memenuhi aspek kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Data yang berintegritas merupakan langkah awal yang penting untuk mendapatkan hasil yang akurat. Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Sistem informasi harus memberikan output berupa informasi yang diperlukan oleh pemegang keputusan. Penilaian efektivitas mengukur apakah kinerja sistem layak dipertahankan, harus ditingkatkan atau perlu dimodifikasi, atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya. Efisiensi sistem informasi juga harus diukur untuk menghasilkan output yang diharapkan dengan sumber daya yang seminimal mungkin.

Audit sistem informasi berguna untuk mendapatkan pengawasan dan penilaian terhadap proses dan modifikasi perangkat lunak, pengawasan atas sumber data, dan data file yang ada. Jadi audit sistem informasi bertujuan agar sistem informasi dalam suatu perusahaan dapat diandalkan, akurat, dan valid sehingga operasional perusahaan dapat berjalan dengan lancar.

Dibawah ini merupakan contoh kasus yang terjadi di sebuah perusahaan yang bernama PT SEGAR DINGIN. Perusahaan ini sudah berjalan selama kurang lebih sepuluh tahun yang kegiatannya menjual jus buah yang terdiri dari beberapa buah-buahan. Suatu ketika perusahaan ini mendapatkan masalah yang sangat rumit dan kompleks. Sebelumnya perusahaan ini telah menyediakan pemberdayaan karyawan internal perusahaan, yang bernama Adrian Jason untuk mempelajari cara menggunakan software audit untuk komputer. Adrian Jason langsung mencari masalah-masalahnya lalu mengatasi masalah tersebut, membuat prosedur pengendalian dan dibuat pengujian pengendaliannya. Masalah-masalah tersebut diantaranya yaitu akses yang tidak sah pada program komputer, sehingga website pada perusahaan yang digunakan untuk berhubungan dengan pihak eksternal perusahaan, seperti customers dan masyarakat tidak dapat dibuka. Departemen penjualan perusahaan menggunakan program komputer yang baru untuk mencatat transaksi keuangan dengan menggunakan software akuntansi keuangan dan mengubahnya untuk cara menghitung komisi penjualan. Ada kesalahan dalam pemodifikasian program ini karena hasil hitungnya lebih kecil dari biasanya. Salah seorang karyawan  bagian departemen produksi yang mempunyai wewenang penuh atas pemesanan pembelian pada pemasok dan menerima laporan, melakukan pemesanan palsu untuk kepentingan pribadinya. Karena banyaknya masalah yang terjadi diperusahaan tentang audit sistem informasi maka Adrian Jason juga mencoba memeriksa pemrosesan komputer perusahaan, apakah prosedur edit pada komputer telah mendeteksi in put yang salah atau tidak. Untuk mengatasi berbagai masalah yang ada di perusahaan Segar Dingin tersebut Adrian Jason melakukan audit sistem informasi pada komputer. Di bawah ini merupakan cara mengatasi masalah perusahaan,pengendalian masalah dan menguji pengendalian terbut yang dilakukan oleh auditor internal perusahaan Segar Dingin.

Referensi

-   Juliandarini. Handayaningsih, Sri. Audit Sistem Informasi pada Digilib Universitas XYZ Menggunakan Kerangka Kerja COBIT 4.0. Jurnal Sarjana Teknik Informatika. Volume 1 Nomor 1, Juni 2013. Pp. 276-286. e-ISSN: 2338-5197

-          Romney, Marshall B., Steinbart, Paul John. (2004). Accounting Information Systems. 9th edition.

-          Weber, Ron. (1999). Information Systems Control and Audit. Prentice-Hall, Inc., New Jersey.

3.2 Contoh Jenis – Jenis Audit EDP

Menurut Ron Weber, EDP auditing adalah proses mengumpulkan dan menilai bukti untuk menentukan apakah sistem komputer mampu mengamankan harta, memelihara kebenaran data maupun mencapai tujuan organisasi perusahaan secara efektif dan menggunakan harta perusahaan secara hemat.

Perkembangan teknologi komputer yang semakin pesat dirasakan dampaknya pada dunia auditing. Sekarang hampir semua unit kerja dapat mengolah datanya sendiri dengan komputer yang mereka miliki. Data yang rumit dan banyak yang akan diolah menjadi informasi bentuk tertentu yang sukar dan khusus yang tidak dapat dikerjakan pada unit sendiri, dapat diserahkan pengolahannya pada Unit Pengolahan Data Elektronik (EDP). Pada umumnya, EDP hanya berfungsi membantu pengolahan data, sedangkan rancangan sistemnya disusun oleh unit kerja masing-masing karena unit kerja bersangkutan pasti lebih tahu akan jenis dan bentuk informasi yang diperlukannya. (Alamsyah, 2005).

Jenis-Jenis Audit EDP

Berdasarkan luasnya penggunaan komputer dan data yang dihasilkannya Audit EDP diklasifikasikan menjadi 4 jenis yaitu :

a.       Audit disekitar Komputer

Jenis audit ini dilakukan oleh auditor terhadap hardcopy yang dihasilkan komputer. Sedangkan komputernya sendiri tidak disentuh.

Kelemahannya :

-       Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual

-       Tidak membuat auditor memahami sistem komputer lebih baik

-       Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam system.

-       Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif

-       Kemampuan komputer sebagai fasilitas penunjang audit mubazir

-       Tidak mencakup keseluruhan maksud dan tujuan audit

b.      Audit dengan komputer

Jenis audit ini ditinjau dari auditor yang menggunakan bantuan komputer dalam melakukan audit. Karena itu, organisasi yang di audit mungkin 

c.       Audit melalui komputer

Jenis audit yang dilakukan terhadap organisasi yang telah menggunakan komputer dalam memproses informasinya, baik secara sempit dan sederhana maupun secara luas dan canggih.

d.      Teknik Audit Berbasis Komputer (Komputer Assisted Audit Techniques CAAT)

merupakan jenis audit yang dilakukan dengan bantuan software komputer baik yang dibuat sendiri ataupun program paket yang disebut dengan GAS (General Auidt Software).belum menggunakan komputer tetapi auditor dalam melakukan audit dibantu oleh komputer, yaitu ketika menyusun kertas kerja pemeriksaan dan laporan hasil audit.

Referensi

Alamsyah, Zulkifli. 2005. Manajemen Sistem Informasi. Jakarta: PT Gramedia Pustaka Utama.

3.1 Resiko Yang Mengakibatkan Prosedur – Prosedur Audit Gagal

Resiko Audit adalah istilah yang umum digunakan dalam kaitannya dengan audit atas laporan keuangan suatu entitas.Tujuan utama dari audit tersebut adalah untuk memberikan suatu tindakan untuk berpendapat apakah atau tidak laporan keuangan yang diaudit menyajikan secara wajar keuntungan keuangan, posisi / rugi dan arus kas entitas. Resiko audit adalah resiko auditor memberikan pendapat yang tidak pantas atas laporan keuangan, terutama ketika laporan keuangan tersebut mengandung salah saji material. Of less concern is the situation where the auditor states that the financial statements do not meet the standardof fair presentation, when in fact they do perhatian kurang adalah situasi dimana auditor menyatakan bahwa laporan keuangan tidak memnuhi standar penyajian secara wajar, padahal sebenarnya mereka lakukan. Berikut adalah resiko audit :

Resiko inheren (inheren resiko) merupakan suatu yang dipergunakan oleh auditor dalam menilai adanya kemungkinan bahwa terdapat sejumlah salah saji material (kekeliruan atau kecurangan) dalam suatu segmen sebelum ia mempertimbangkan keefektifan dan pengendalian intern yang ada. Dengan mengasumsi tiadanya pengendalian intern, maka resiko inhern ini dapat dinyatakan sebagai kerentanan laporan keuangan terhadap timbulnya salah saji yang material. Jika auditor, dengan mengabaikan pengendalian intern, menyimpulkan bahwa terdapat suatu kecendrungan yang tinggi atas keberadaan sejumlah salah saji, maka auditor akan menuimpulkan bahwa tingkat resiko inherennya tinggi. Pengendalian intern diabaikan dalam menetapkan nilai resiko inherennya karena pengendalian intern ini dipertimbangkan secara terpisah dalam model resiko audit sebagai resiko pengendalian. Penilaian ini cenderung didasarkan atas sejumlah diskusi yang telah dilakukan dengan pihak manajemen, pemahaman yang dimiliki akan perusahaan, serta hasil-hasil yang diperoleh dari tahu-tahun  sebelumnya.

Hubungan antara resiko deteksi terencana serta dengan bukti audit yang direncanakan adalah sebagai berikkut: resiko inheren saling berlawanan dengan resiko deteksi terencana serta memiliki hubungan yang searah dengan bukti audit.

Selain semakin meningkatnya bukti audit yang diperlukan untuk suatu tingkat resiko inheren yang lebih tinggi dalam suatu area audit tertentu, merupakan hal yang umum dilakukan pula untuk menugaskan staf yang telah memiliki lebih banyak pengalaman untuk melakukan audit pada area tersebut serta melakukan riview yang lebih mendalam pada kertas kerja yang telah selesai dibuat. Sebagai contoh: jika resiko inheren atas keusangan persediaan sangat tinggi, maka sangatlah masuk akal bila kantor akuntan publik memilih staf yang pengalaman untuk melakukan sejumlah tes yang lebih mendalam atas keusangan persediaan ini dan melakukan riview yang lebih cermat atas hasil-hasil yang diperoleh dari audit ini.

Resiko pengendalian (control risk) merupakan ukuran yang digunakan oleh auditor untuk menilai adanya kemungkinan bahwa terdapat sejumlah salah saji material yang melebihi nilai salah saji yang masih terdapat ditoleransi atas segmen tertentu akan tidak terhadang atau tidak terdeteksi oleh pengendalian intern yang dimiliki klien. Resiko pengendalian ini memperhatikan 2 hal berikut :

-          Penilaina tentang apakah pengendalian intern yang dimiliki klien efektif untuk mencegah atau mendeteksi terjadinya salah saji.

-          Kehendak auditor membuat penilaian tersebut senantiasa berada di bawah nilai maksimim (100%) sebagai bagian dari rencana audit yang dibuatnya.

Model resiko audit menunjukan hubungan yang erat antara resiko inheren dan resiko pengendalian.

Sama dengan yang terjadi pada resiko inheren, hubungan antara resiko pengendalian dan resiko deteksi terencana adalah saling berlawanan, sementara hubungan antara resiko pengendalian dan bukti substansif merupakan hubungan yang searah. Sebagai contoh, jika auditor menyimpulkan bahwa pengendalian intern bersifat efektif, maka nilai resiko deteksi terencana dapat meningkat sehingga jumlah bukti audit yang direncanakan akan dikumpulkan akan turun. Auditor dapat meningkatkan resiko deteksi terencana pada saat pengendalian intern bersifat efektif karena pengendalian intern yang efektif mengurangi kemungkinan hadirnya salah saji dalam laporan keuangan.

Sebelum auditor dapat menetapkan nilai resiko pengendalian kurang dari 100%, auditor harus memahami pengendalian intern yang ada, dan berdasarkan pemahaman itu, auditor melakukan evaluasi tentang bagaimana seharusnya fungsi pengendalian intern tersebut , serta melakukan uji atas efektifitas pengendalian intern tersebut. Hal pertama dari semua ini adalah keharusan untuk memahami semua jenis audit. Dua hal terakhir adalah langkah-langkah penilaian resiko pengendalian yang diperlukan jika auditor memilih untuk memberikan nilai atas resiko pengendalian supaya berada dibawah nilai maksimum.

Resiko deteksi terencana (planned detection risk) merupakan ukuran resiko bahwa bukti audit ata segmen tertentu akan gagal mendeteksi keberadaan salah saji yang melebihi suatu nilai salah saji yang masih dapat ditoleransi, andaikan salah saji semacam itu ada. Terdapat dua poin utama tentang resiko deteksi yang terencana ini yaitu sebagai berikut :

-          Resiko ini tergantung pada ketiga faktorr lainnya yang terdapat dalam model. Resiko deteksi terencana hanya akan berubah jika auditor melakukan perubahan pada salah satu dari ketiga faktor lainnya tersebut.

-          Resiko ini menentukan nilai substansif yang di rencanakan oleh auditor untuk dikumpulkan, yang merupakan kebalikan dari ukuran resiko terencana itu sendiri.

Jika nilai resiko deteksi terencana berkurang, maka auditor harus mengumpulkan lebih banyak bukti audit untuk mencapai nilai resiko deteksi yang berkurang ini.

Referensi

-          http://auditme-post.blogspot.co.id/2010/08/apa-saja-risiko-yang-dihadapi-auditor.html