AUDIT SIA: PENGENDALIAN UMUM DAN PENGENDALIAN APLIKASI

Audit SIA merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber, 2000).

Pada dasarnya, Audit Sistem Informasi dibedakan menjadi dua kategori, yaitu

1.      Pengendalian Aplikasi (Application Control)

Tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.

2.      Pengendalian Umum (General Control)

Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data.

PENGENDALIAN UMUM

Pengendalian umum pada perusahaan dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal dilakukan terhadap aset-aset fisik perusahaan, sedangkan aspek logikal terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya:

a)      Pengendalian organisasi dan otorisasi.

Yang dimaksud dengan pengendalian organisasi adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.

b)      Pengendalian operasi.

Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.

c)      Pengendalian perubahan.

Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.

d)     Pengendalian akses fisikal dan logikal.

Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).

PENGENDALIAN APLIKASI

Pengendalian aplikasi adalah prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik.

Macam Aplikasi

Aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:

·         Perangkat lunak berdiri sendiri

Terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.

·         Perangkat lunak di server

Tedapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server.

Macam Pengendalian Aplikasi

a.      Pengendalian Organisasi dan Akses Aplikasi

Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut.

Untuk pengendalian akses, terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.

b.      Pengendalian Input

Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.

c.       Pengendalian Proses

Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master.

d.      Pengendalian Output

Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.

e.        Pengendalian Berkas Master

Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti:

ü  Anomaly penambahan

ü  Anomaly penghapusan

ü  Anomaly pemuktahiran/pembaruan

Hubungan Pengendalian Umum dan Aplikasi

Hubungan antara pengendalian umum dan aplikasi bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek, maka pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik.

Audit Sistem Informasi Akuntansi

Secara garis besar audit system informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah suatu system aplikasi komputerisasi telah menetapkan dan menerapkan system pengendalian intern yang memadai, semua aktiva dilindungi dengan baik atau tidak disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan system informasi berbasis computer.

Audit system informasi dilakukan untuk dapat menilai:

a.       Apakah system komputerisasi suatu organisasi/perusahaan data mendukung pengamanan asset?

b.      Apakah system komputerisasi dapat mendukung pencapaian tujuan organisasi/perusahaan?

c.       Apakah system komputerisasi tersebut efektif, efisien dan data integrity terjamin?

Jenis audit system informasi:

1.      Audit Laporan Keuangan (Financial Statement Audit)

2.      Audit Operasional (Operational Audit)

2.1  Audit terhadap aplikasi computer

a.       Post-implementation audit (audit setelah implementasi)

b.      Concurrent audit (audit secara bersama-sama)

2.2  General audit (audit umum)

Auditor mengevaluasi kinerja unit fungsional atau fungsi siste informasi (instalasi computer) apakah telah dikelola dengan baik.

Tujuan audit system informasi akuntansi menurut Ron Weber:

1.      Meningkatkan keamanan asset-aset perusahaan

2.      Meningkatkan integritas data

3.      Meningkatkan efektifitas system

4.      Meningkatkan efisiensi system

Factor-faktor yang mendorong pentingnya control dan audit system informasi akuntansi (Ron Weber):

1.      Mendeteksi agar computer tidak dikelola secara kurang terarah.

2.      Mendeteksi resiko kehilangan data.

3.      Mendeteksi resiko pengambilan keputusan salah akibat informasi hasil proses system komputerisasi salah/lambat/tidak lengkap.

4.      Menjaga asset perusahaan karena nilai hardware, software, dan personil yang lazimnya tinggi.

5.      Mendeteksi resiko eror computer.

6.      Mendeteksi resiko penyalahgunaan computer (fraud).

7.      Menjaga kerahasiaan.

8.      Meningkatkan pengendalian evolusi penggunaan computer.

Jenis pendekatan audit berkaitan dengan computer:

a.      Audit around computer

Dalam pendekatan ini, auditor dapat melangkah pada rumusan pendapat dengan hanya menelaah struktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada system manual (bukan system informasi berbasis computer). Auditor tidak perlu menguji pengendalian system informasi berbasis computer klien (terhadap file program/data computer), melainkan cukup terhadap input serta output system aplikasi saja.

Dari penilaian terhadap kualitas dan kesesuaian antara input dan output, auditor dapat mengambil kesimpulan tentang kualitas pemrosesan kualitas data yang dilakukan klien, meskipun program komputernya tidak diperiksa. Oleh karena itu, auditor harus dapat mengakses ke dokumen sumber yang cukup  dan daftar laporan (output) yang terinci dalam bentuk yang dapat dibaca. Kuncinya adalah pada penelusuran transaksi terpilih mulai dari dokumen sumber sampai ke bagan perkiraan (akun) dan laporan keuangan.

Untuk menerapkan metode ini, pertama auditor harus meninjau dan menguji pengendalian masukan (input controls), kemudian menghitung hasil yang diperkirakan (expected) dari proses transaksi yang terpilih, lalu auditor membandingkan hasil sesungguhnya seperti yang tampak dalam laporan yang dihasilkan denga hasil sesungguhnya seperti yang tampak dalam laporan yang dihasilkan dengan hasil yang dihitung secara manual.

Kelebihan:

-          Pelaksanaan audit lebih sederhana

-          Auditor yang memiliki pengetahuan minimal di bidang computer dapat dilatih dengan mudah untuk melaksanakan audit.

Kelemahan:

Jika lingkungan berubah, maka kemungkinan system juga akan berubah dan perlu penyesuaian system atau programnya, bahkan mungkin struktur data/file, sehingga auditor tidak dapat menilai apakah system masih berjalan baik.

b.      Audit through the computer

Dalam pendekatan ini, auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputerpada audit system informasi berbasis computer. Auditor menggunakan computer atau dengan menggunakan cek logika atau listing program (desk test on logic or program source code) untuk menguji logika program dalam rangka pengujian pengendalian dalam computer. Selain itu auditor juga dapat meminta penjelasan dari teknisi computer mengenai spesifikasi system dan program yang diperiksanya. Dalam pengujian substantive, auditor memeriksa file/data computer.

Kelebihan:

-          Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.

-          Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.

-          Auditor dapat menilai kemampuan system computer tersebut untuk menghadapi perubahan lingkungan.

Kelemahan:

-          Memerlukan biaya yang besar dan tenaga ahli yang terampil.

c.      Audit with computer

Dalam pendekatan ini, audit dilakukan dengan menggunakan computer dan software untuk mengotomatisasi prosedur pelaksanaan audit. Pendekatan ini dapat menggunakan beberapa computer assisted audit techniques, misalnya System Control Audit Review File (SCARF), snapshoot, dan lain-lain. Software audit yang digunakan merupakan program computer yang digunakan oleh auditor untuk membantu pengujian dan evaluasi keandalan record/data/file perusahaan. Software audit yang digunakan dapat digolongkan menjadi:

a.       Perangkat lunak audit khusus (SAS, Specialized Audit Software)

Program yang dirancang auditor untuk situasi audit tertentu. Software audit ini jarang digunakan karena penyiapannya memerlukan waktu, mahal dan memerlukan keahlian auditor di bidang computer..

b.      Perangkat lunak audit yang berlaku umum (GAS, Generalized Audit Software).

Perangkat lunak audit yang digeneralisasi terdiri dari seperangkat program computer yang secara bersama-sama melaksanakan bermacam-macam fungsi pemrosesan data atau manipulasi data sebagai alat bantu audit. GAS biasanya dibuat software house sebagai suatu package software yang dijual dan dapat digunakan oleh berbagai kantor akuntan.

Kelebihan:

-          Program dikembangkan untuk memudahkan pelathan bagi staff auditor (user friendly) dalam menggunakan program.

-          Dapat diterapkan pada berbagai perusahaan, dalam lingkup besar maupun kecil tanpa mengeluarkan biaya dan mengalami kesulitan dalam mengembangkan program.

Kelemahan:

-          Upaya dan pengembangannya relative besar dan mungkin memerlukan keahlian teknis yang memadai.

-          Software bersifat generalize tidak dapat memenuhi kebutuhan spesifik tiap auditor secara individu karena produk bersifat paket.