TB 1 Prof Apollo, "Proses Audit Sistem Infomasi"

TB 1 Prof Dr Apollo "Proses Audit Sistem Informasi"

Perkembangan teknologi dan sistem informasi di era digitalisasi semakin pesat, memberikan peran yang sangat penting dalam dunia bisnis, bahkan  beberapa perusahaan menggunakan keunggulan sistem informasi sebagai kunci strategi bisnis.

Seiring dengan perkembangan tersebut, demikian pula dengan pengendalian dan audit yang dilakukan berkembang mengikuti zaman, mengikuti perubahan teknologi dan system informasi.

Aktivitas audit sebagai sarana monitoring dan pengawasan, dilakukan untuk mengetahui kondisi suatu organisasi, sebagai sarana pengendalian, agar tujuan organisasi dapat tercapai, operasional perusahaan dilakukan dengan efisien dan efektif, dan mematuhi peraturan-peraturan yang berlaku.

Dalam kesempatan ini, saya hanya akan mengemukakan pendapat dan pemikiran mengenai sebagian kecil dari seluruh rangkaian Audit Sistem Informasi, yaitu proses audit system informasi.

Lahkah-langkah dan tahapan praktis dalam proses audit system informasi secara garis besar terbagi menjadi  6 (enam), yaitu:

• Pertemuan Awal (Opening Meeting)
• Mereviu dokumen
• Konfirmasi kepada Pegawai berwenang
• Melakukan penelusuran
• Menguji Pengendalian Sistem Informasi
• Pertemuan Akhir (Closing Meeting)

Adapun penjelasan dari setiap tahapan adalah sebagai berikut:

• Pertemuan Awal (Opening Meeting)

Pertemuan awal diperlukan untuk memperkenalkan tim audit kepada auditan. Auditan disini adalah seluruh level manajemen dan pegawai yang berwenang terhadap system informasi, sehingga komunikasi terjalin, dan memberikan kemudahan dalam aktivitas audit, terutama kebutuhan dokumen, data, dan informasi yang diperlukan.

Perencanaan audit, menyangkut ruang lingkup, tujuan, durasi/lama waktu, pengambilan sampel di lapangan, dan jumlah anggota tim audit didiskusikan antara tim audit dengan pihak manajemen.

• Mereviu dokumen

Pihak manajemen akan memberikan seluruh dokumen yang diperlukan untuk melakukan proses audit. Auditor akan melakukan reviu sehingga memperoleh gambaran dan memahami seluruh proses bisnis organisasi.

Hal-hal yang perlu diperhatikan adalah:

• Kebijakan

Mengetahui bagaimana kebijakan organisasi terhadap system informasi. Apakah seluruh panduan telah disetuji oleh manajemen tingkat atas, dan apakah dilakukan reviu terhadap panduan tersebut minimal setahun sekali.

• Prosedur

Mengetahui apakah seluruh dokumen system informasi yang ada, telah sesuai dengan kebijakan manajemen tingkat atas. Apakah Standar Operasional Prosedur telah disusun secara rinci, dan telah disetujui manajemen, serta dilakukan reviu minimal satu tahun sekali.

• Flowchart

Flowchart disusun untuk menggambarkan seluruh rangkaian proses bisnis system informasi yang dibangun.

Gambar yang ada dalam flowchart dapat dipahami untuk menggambarkan interaksi berbagai proses dan bagaimana hubungan antar aliran transaksi tersebut, apakah saling ketergantungan dan memiliki cabang ke berbagai arah (transaksi lainnya).

• Audit Log dan Screenshot (tangkapan layer)

Setiap organisasi memiliki monitoring pengendalian terhadap seluruh proses system informasi dan menyimpan bukti nya dalam suatu system log (penyimpanan) dan system screenshot (tangkapan layar).

Audit log yang ada dalam setiap system informasi memberikan bukti tambahan bagi auditor untuk mengetahui bagaimana monitoring pengendalian yang dibangun manajemen.

• Konfirmasi kepada Pegawai berwenang

Auditor melakukan pertemuan dengan masing-masing bagian/departemen dan melakukan wawancara terhadap personil kunci/pegawai berwenang, untuk:

• Mengetahui pemahaman pegawai terhadap kebijakan dan prosedur system informasi
• Melaporkan hirarki dan hubungan (Entity Relationship Diagram) untuk memahami implementasi pengendalian terhadap pemisahan tugas
• Mendapatkan pengetahuan tentang seluruh proses dan aliran data/transaksi dalam organisasi
• Melakukan penelusuran

Penelusuran dilakukan untuk memahami implementasi proses yang berbeda dan mendapatkan bukti kepatuhan dan/atau penyimpangan jika ada.

Penelusuran termasuk fisik sekitar fasilitas, mengamati untuk mengetahui bagaimana akses dan interaksi karyawan yang dilakukan, dan penelusuran melalui dokumentasi yang ada (maintained), dalam bentuk form input atau output, yang telah dilakukan operator.

• Menguji Pengendalian Sistem Informasi

Pengujian terhadap pengendalian yang dilakukan manajemen terhadap system informasi dilakukan sebagai berikut:

• Mendapatkan populasi dan melakukan uji kepatuhan terhadap seluruh populasi dan/ atau sampel yang dipilih dari populasi
• Jika ada alat audit (audit tools) yang akan digunakan, maka pengujian dilakukan dengan menggunakan utilitas alat tersebut

Pengujian dilakukan untuk mengetahui apakah pengendalian yang dilakukan manajemen telah berjalan dengan baik,.

Pengujian adalah suatu proses ilmiah (sains) untuk memahami proses dan hasil yang diharapkan dalam system informasi.

Jika ada alat audit yang akan digunakan, maka pengujian dilakukan dengan menggunakan utilitas alat tersebut.

Pengujian berfokus pada hasil komputasi, terkait pengendalian yang dilakukan manajemen, dan bagaimanakah  kenyataan aktual yang dilakukan, untuk  melihat apakah hasil tersebut mendukung hipotesis yang ada.

Kadangkala melakukan pengujian terhadap keseluruhan data dan transaksi tidak memungkinkan, mengingat waktu dan biaya yang terbatas, sehingga pengambilan sampel dilakukan.

Sampel yang diambil cukup dan memadai, untuk dapat memastikan kualitas dan kuantitas yang memadai untuk mengekstrapolasi hasil pengujian menjadi kesimpulan yang dapat diandalkan pada keseluruhan populasi.

Pengujian pengendalian dilakukan untuk meyakinkan efektivitas operasional pengendalian sebaik efektivitas desain yang telah ditetapkan, mencakup:

• Uji substantif

Pengujian ini digunakan untuk membuktikan integritas proses sebenarnya, yaitu meyakinkan bahwa proses system informasi, telah bekerja dengan baik.

Uji substantif untuk mengetahui sejauh mana reliabiltas desain pengendalian yang telah disusun, apakah desain tersebut dapat diandalkan.

• Uji kepatuhan

Pengujian ini untuk mengetahui sejauh mana system informasi yang dibangun memenuhi kepatuhan terhadap kebijakan dan prosedur yang telah ditetapkan, dan mengetahui bagaimana pengendalian yang telah dibangun, apakah telah berjalan sebagaimana yang diharapkan.  

• Pertemuan Akhir (Closing Meeting)

Setelah seluruh rangkaian proses audit dilakukan, mencakup reviu dokumen, konfirmasi, penelusuran, dan pengujian pengendalian, auditor menganalisis kondisi yang ada, membandingkan dengan kriteria yang ditetapkan bersama, dan menyampaikan kepada manajemen tingkat atas.

Tim Audit mendiskusikan hasil observasi yang telah dilakukan, gaps (perbedaan) yang ditemukan, antara yang telah didesain sebelumnya dengan kenyataan aktual di lapangan, dengan pihak manajemen tingkat atas, dan memberikan rekomendasi penyelesaian yang dapat dilakukan untuk mengatasi gaps tersebut.

 

Demikian pendapat dan pemikiran saya, tekait tahapan dan proses audit sistem informasi.

Semoga berkenan