Modul Audit Sistem Informasi
Download Modul Audit Sistem Informasi Bab 03 - Resiko Dalam Sistem Informasi dan Konsep Dasar Audit
Bab 03 - Resiko Dalam Sistem Informasi dan Konsep Dasar Audit
Abstract
"Semakin tingginya kebutuhan organisasi terhadap sistem informasi mendorong adopsinya di berbagai aspek organisasi. Pengendalian terhadap sistem informasi menjadi krusial, untuk mengetahui apakah pengendalian tersebut efektif diperlukanlah audit."
Kompetensi
"Memahami risiko dalam sistem informasi dan mengerti konsep dasar audit"
Risiko dalam Sistem Informasi dan Konsep
Dasar Audit
6.1 Risiko Terkait Komputer
Semua hal melibatkan risiko dalam berbagai tingkatan. Risiko dikaitkan dengan
kemungkinan kejadian atau keadaan yang dapat merugikan dan mengancam pencapaian
tujuan maupun sasaran organisasi. Risiko dapat dikurangi tetapi tidak dapat dihilangkan.
Menurut Suswinarno (2012) manajemen risiko adalah:
“Suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang
berkaitan dengan ancaman atau suatu rangkaian aktivitas manusia termasuk penilaian
risiko, pengembangan strategi untuk mengelolanya dan mitigasi risiko dengan
menggunakan pemberdayaan/pengelolaan sumber daya.”
Manajemen risiko berkaitan dengan menilai suatu produk, proses atau bisnis
melalui:
1. Identikasi proses-proses
2. Identifikasi jenis risiko untuk setiap proses
3. Identifikasi kontrol untuk setiap proses
4. Evaluasi kecukupan sistem kontrol dalam mitigasi risiko
5. Menentukan kontrol utama terkait setiap proses
6. Menentukan efektifitas kontrol utama
Semua sistem informasi memiliki risiko, seperti bahaya-bahaya berikut:
Fraud (Kecurangan/manipulasi)
Business interruption (Gangguan bisnis)
Errors (Sistem tidak berfungsi sebagaimana mestinya)
Customer dissatisfaction (Ketidakpuasan konsumen)
Poor public image (Citra yang buruk di mata masyarakat)
Ineffective and inefficient use of resources (Penggunaan sumber daya yang tidak
tepat dan pemborosan)
6.2 Jenis Risiko
Pada pendekatan audit berbasis risiko, secara umum dikenal tiga jenis risiko yaitu:
1. Risiko inheren: kemungkinan kerugian terjadi sebelum memperhitungkan faktorfaktor
pengurang risiko. Dalam mengevaluasi risiko jenis ini auditor harus
mempertimbangkan apa jenis dan sifat risiko serta faktor apa yang menunjukkan
risiko ada.
2. Risiko kontrol: mengukur kemungkinan proses kontrol yang ada untuk membatasi
atau menangani risiko inheren apakah tidak efektif. Untuk memastikan audit telah
tepat, auditor harus memahami mana kontrol yang efektif terlebih dahulu.
3. Risiko audit: risiko bahwa cakupan audit tidak menjangkau exposure bisnis yang
cukup penting. Pro-forma audit dapat dikembangkan untuk mengurangi risiko audit,
hal ini menyediakan panduan apa kontrol utama yang harus ada untuk menghadapi
risiko dan apa yang harus dipatuhi atau pengujian substantif yang harus dilakukan.
6.3 Efek dari Risiko
Efek Risiko dalam sistem informasi ditemui pada:
• Strategi (Strategic): risiko dimana sistem informasi tidak sesuai dengan tujuan
organisasi dan tidak mendukung pencapaian misi.
• Operasi (Operations): risiko dimana sistem informasi menimbulkan beban yang
terlalu besar bagi organisasi. Selain itu ketergantungan organisasi terhadap suatu
sistem informasi berarti apabila sistem tersebut tidak tersedia selama waktu
tertentu dapat menimbulkan risiko besar bagi operasional.
• Pelaporan (Reporting): risiko dimana sistem informasi tidak dapat diandalkan untuk
menghasilkan informasi yang akurat, lengkap dan tepat waktu.
• Kepatuhan (Compliance): risiko dimana sistem informasi malah menimbulkan
pelanggaran hukum dan regulasi yang merugikan bagi organisasi baik secara finansial
maupun reputasi.
6.4 Bukti Audit
Bukti adalah informasi yang dimaksudkan untuk membuktikan atau mendukung
suatu keyakinan.
Bukti audit hendaknya memenuhi kriteria berikut:
• Cukup (Sufficient). Faktual, memadai dan meyakinkan dimana seseorang yang
bijak akan mengambil kesimpulan yang sama dengan auditor.
• Kompeten (Competent). Handal dan merupakan Dapat diandalkan dan hasil
terbaik dari penggunaan metode audit yang tepat.
• Relevan (Relevant). Mendukung temuan dan rekomendasi audit serta konsisten
dengan tujuan audit.
• Berguna (Useful). Membantu organisasi dalam mencapai tujuannya.
6.5 Jenis Bukti Audit
6.5.1 Bukti Fisik (Physical evidence). Secara umum diperoleh dari hasil
pengamatan terhadap orang, properti atau peristiwa bisa dalam bentuk foto, peta
dan sebagainya. Bukti yang diperoleh dari hasil pengamatan haruslah didukung
dengan contoh-contoh yang terdokumentasi atau bila tidak memungkinkan
hendaknya didukung pengamatan lain yang menguatkan
6.5.2 Bukti Kesaksian (Testimonial evidence). Dapat berbentuk surat, pernyataan
atau wawancara yang tidak bersifat konklusif karena merupakan pendapat
seseorang. Bukti jenis ini hendaknya didukung dokumentasi selama memungkinkan.
6.5.3 Bukti Dokumen (Documentary evidence). Merupakan bukti yang paling lazim
dalam audit bisa berupa surat, perjanjian, kontrak, perintah, memo dan berbagai
jenis dokumen bisnis lain. Bukti jenis ini dapat juga diperoleh dari arsip komputer
menggunakan alat dan teknik audit yang tepat. Sumber dokumen akan menentukan
tingkat kehandalan dan tingkat kepercayaan, tentunya kualitas proses kontrol
internal ikut dipertimbangkan.
6.5.4 Bukti Analitis (Analytical evidence). Umumnya diperoleh dari hasil
komputasi, perbandingan terhadap standar, operasi masa lalu atau operasi sejenis.
Penggunaan perangkat komputer yang tepat sangat membantu auditor pada
perolehan bukti jenis ini. Regulasi dan penalaran umum juga dapat menghasilkan
bukti jenis ini.
6.6 Prosedur Bukti Audit
Auditor sangat bergantung pada pengumpulan bukti. Hal ini dilakukan melalui
berbagai cara dan mengikuti Program Audit.
Program Audit adalah serangkaian langkah-langkah yang rinci yang harus diikuti
auditor untuk mendapatkan bukti yang tepat dan pada auditor sistem informasi hal ini
berupa penggunaan teknik komputasi tertentu walaupun bisa juga bukan.
Program audit dibutuhkan untuk menciptakan audit yang efektif dan efisien.
Menurut Jack J. Champlain (2003) selain itu masih memiliki dua keuntungan lain yaitu:
1. Membantu manajemen audit dalam perencanaan sumber daya, misal dapat dihitung
berapa total jam yang dibutuhkan untuk melaksanakan audit berdasarkan waktu
yang diharapkan untuk melaksanakan setiap langkah-langkah audit pada program
audit.
2. Membantu konsistensi dalam pengujian pengendalian yang umum.
6.7 Tanggung Jawab Terhadap Deteksi dan Pencegahan Kecurangan (Fraud)
Tanggung jawab terhadap deteksi dan pencegahan kecurangan termasuk
kecurangan dalam sistem informasi merupakan tanggungjawab dari pengelola
(operational management).
Auditor memiliki peran dalam hal membantu pengelola menerapkan sistem kontrol
dimana fraud kecil kemungkinan terjadi, tetapi apabila terjadi akan cepat dideteksi.
Sumber :
Modul Perkuliahan - Audit Sistem Informasi - Program Studi Sistem Informasi - Fakultas Ilmu Komputer - Universitas Mercu Buana
