A. TEKHNOLOGI INFORMASI
a. Pengertian Tekhnologi Informasi
Teknologi Informasi adalah istilah umum yang menjelaskan teknologi apa pun yang membantu manusia dalam membuat, mengubah, menyimpan, mengomunikasikan dan/atau menyebarkan informasi.
Teknologi informasi (Information Technology) biasa disingkat TI, IT atau infotech. Dalam Oxford English Dictionary (OED2) edisi ke-2 mendefenisikan teknologi informasi adalah hardware dan software, dan bisa termasuk di dalamnya jaringan dan telekomunikasi yang biasanya dalam konteks bisnis atau usaha. Menurut Haag dan Keen (1996), Teknologi informasi adalah seperangkat alat yang membantu anda bekerja dengan informasi dan melakukan tugas-tugas yang berhubungan dengan pemrosesan informasi. Menurut Martin (1999), Teknologi informasi tidak hanya terbatas pada teknologi komputer (perangkat keras dan perangkat lunak) yang akan digunakan untuk memproses dan menyimpan informasi, melainkan juga mencakup teknologi komunikasi untuk mengirim/menyebarkan informasi. Sementara Williams dan Sawyer (2003), mengungkapkan bahwa teknologi informasi adalah teknologi yang menggabungkan komputasi (komputer) dengan jalur komunikasi kecepatan tinggi yang membawa data, suara, dan video.
Teknologi Informasi dan Komunikasi mencakup dua aspek, yaitu Teknologi Informasi dan Teknologi Komunikasi. Teknologi Informasi, meliputi segala hal yang berkaitan dengan proses, penggunaan sebagai alat bantu, manipulasi, dan pengelolaan informasi. Sedangkan Teknologi Komunikasi merupakan segala hal yang berkaitan dengan penggunaan alat bantu untuk memproses dan mentransfer data dari perangkat yang satu ke lainnya.
Secara khusus, tujuan mempelajari Teknologi Informasi dan Komunikasi adalah:
1. Menyadarkan kita akan potensi perkembangan teknologi informasi dan komunikasi yang terus berubah sehingga termotivasi untuk mengevaluasi dan mempelajari teknologi ini sebagai dasar untuk belajar sepanjang hayat.
2. Memotivasi kemampuan kita agar bisa beradaptasi dan mengantisipasi perkembangan TIK, sehingga bisa melaksanakan dan menjalani aktifitas kehidupan sehari hari secara mandiri dan lebih percaya diri.
3. Mengembangkan kompetensi kita dalam menggunakan Teknologi Informasi dan Komunikasi untuk mendukung kegiatan belajar, bekerja, dan berbagai aktifitas dalam kehidupan sehari-hari.
4. Mengembangkan kemampuan belajar berbasis TIK, sehingga proses pembelajaran dapat lebih optimal, menarik, dan mendorong kita lebih terampil dalam berkomunikasi, terampil mengorganisasi informasi, dan terbiasa bekerjasama.
5. Mengembangkan kemampuan belajar mandiri, berinisiatif, inovatif, kreatif, dan bertanggung jawab dalam penggunaan Teknologi Informasi dan Komunikasi untuk pembelajaran, bekerja, dan pemecahan masalah sehari-hari.
b. Perkembangan Tekhnologi
Teknologi Informasi merupakan teknologi yang dibangun dengan basis utama teknologi komputer. Perkembangan teknologi komputer yang terus berlanjut membawa implikasi utama teknologi ini pada proses pengolahan data yang berujung pada informasi. Hasil keluaran dari teknologi komputer yang merupakan komponen yang lebih berguna dari sekedar tumpukan data, membuat teknologi komputer dan teknologi pendukung proses operasinya mendapat julukan baru, yaitu teknologi informasi.
c. Dampak Tekhnologi Informasi
Teknologi informasi dan komunikasi (TIK) adalah pendukung utama bagi terselenggaranya globalisasi. Perkembangan teknologi informasi yang begitu pesat memang memberikan kesempatan bagi semua orang untuk mengakses secara real-time informasi terkini yang terjadi di belahan dunia manapun dan tidak ada batasan sama sekali (borderless). Dengan dukungan teknologi informasi dan komunikasi, informasi dalam bentuk apapun dan untuk berbagai kepentingan, dapat disebarluaskan dengan mudah sehingga dapat dengan cepat mempengaruhi cara pandang dan gaya hidup hingga budaya suatu bangsa. Semakin canggih dukungan teknologi tersebut, semakin besar pula arus informasi dapat dialirkan dengan jangkauan dan dampak global.
B. AUDIT SISTEM INFORMASI KOMPUTERISASI AKUNTANSI
a. Audit
Pengertian Audit menurut Arens, et al. (2003) yang diterjemahkan oleh Kanto Santoso, Setiawan dan Tumbur Pasaribu:
”Audit adalah proses pengumpulan dan pengevaluasian bukti-bukti tentang informasi ekonomi untuk menentukan tingkat kesesuaian informasi ekonomi tersebut dengan kriteriakriteria yang telah ditetapkan, dan melaporkan hasil pemeriksaan tersebut”.
b. Sistem Informasi
Definisi sistem informasi menurut Ali Masjono Mukhtar, adalah:
”Suatu pengorganisasian peralatan untuk mengumpulkan, menginput, memproses, menyimpan, mengatur, mengontrol, dan melaporkan informasi untuk pencapaian tujuan perusahaan.”
c. Komputerisasi
Definisi komputerisasi yang berasal dari kata komputer (Computer) diambil dari bahasa latin ”Computare” yang berarti menghitung (to compute atau reckon). Komputer adalah sistem elektronik untuk memanipulasi data yang cepat dan tepat serta dirancang dan diorganisasikan supaya secara otomatis menerima dan menyimpan data input, memprosesnya, dan menghasilkan output di bawah pengawasan suatu langkah-langkah instruksi-instruksi program yang tersimpan dimemori (stored program). Komputerisasi merupakan aktivitas yang berbasis pada komputer (Computer Based System).
d. Akuntansi
Definisi akuntansi (Accounting) menurut (Jerry J. Weygandt, Donald E. Kieso, Paul D. Kimmel, 1999) : akuntansi adalah suatu proses untuk tiga kegiatan yaitu : mengidentifikasi, mencatat, dan komunikasi kejadian ekonomi pada sebuah organisasi baik binsis ataupun non bisnis.
e. Audit Sistem Informasi Komputerisasi Akuntansi
Karakteristik sistem informasi komputerisasi akuntansi terdiri dari:
1. Akuntansi yang berbasis pada sistem informasi komputerisasi akuntansi dapat menghasilkan buku besar yang berfungsi sebagai gudang data (data warehouse). Di mana seluruh data yang tercantum dalam dokumen sumber dicatat dengan transaction processing software ke dalam general ledger yang diselenggarakan dalam bentuk shared data base sehingga dapat diakses oleh personel atau pihak luar yang diberi wewenang.
2. Pemakai informasi akuntansi dapat memanfaatkan informasi akuntansi dengan akses secara langsung ke shared data base.
3. Sistem informasi komputerisasi akuntansi dapat menghasilkan informasi dan laporan keuangan multi dimensi.
4. Sistem informasi komputerisasi akuntansi sangat mengandalkan pada berfungsinya kapabilitas perangkat keras dan perangkat lunak.
5. Jejak audit pada sistem informasi komputerisasi akuntansi menjadi tidak terlihat dan rentan terhadap akses tanpa izin.
6. Sistem informasi komputerisasi akuntansi dapat mengurangi keterlibatan manusia, menuntut pengintegrasian fungsi, serta menghilangkan sistem otorisasi tradisional.
7. Sistem informasi komputerisasi akuntansi mengubah kekeliruan yang bersifat acak ke kekeliruan yang bersistem namun juga dapat menimbulkan risiko kehilangan data.
8. Sistem informasi komputerisasi akuntansi menuntut pekerja pengetahuan (knowledge worker) dalam pekerjaannya.
Tujuan audit sistem informasi komputerisasi akuntansi adalah untuk mereview dan mengevaluasi pengawasan internal yang digunakan untuk menjaga keamanan dan memeriksa tingkat kepercayaan sistem informasi serta mereview operasional sistem aplikasi akuntansi yang digunakan.
Berdasarkan karakteristik sistem informasi komputerisasi akuntansi dan tujuan audit sistem informasi komputerisasi akuntansi maka ruang lingkup audit sistem informasi komputerisasi akuntansi pada sebuah organisasi adalah untuk perbaikan pengamanan asset, perbaikan integritas data, perbaikan efektivitas sistem, dan perbaikan efisiensi system.
f. Tekhnologi Informasi pada Audit
Auditor IT memastikan tata kelola IT. Disamping itu Auditor IT juga dapat menilai risiko dan melaksanakan atau memantau kontrol atas risiko tersebut. Peran auditor IT bervariasi sesuai dengan posisi mereka di dalam atau di luar organisasi dan dengan proyek individu tertentu. Tingkat keahlian yang diperlukan untuk juga bervariasi dari yang sangat teknis hingga yang memerlukan keterampilan komunikasi yang baik.
Auditor TI bekerja baik sebagai auditor internal atau eksternal. Auditor tersebut kemungkinan akan menilai risiko dan kontrol TI. Kadang-kadang hal ini dilakukan sebagai pendukung untuk pekerjaan audit keuangan, dan pada waktu lain tujuan evaluasi risiko dan kontrol TI dilakukan untuk kepentingan diri sendiri. Pada dasarnya auditor TI dapat memberikan jaminan atau memberikan kenyamanan atas apa saja yang berhubungan dengan sistem informasi. Disamping itu, terdapat beberapa jenis pekerjaan yang dapat dilakukan oleh auditor IT termasuk:
- Mengevaluasi dan mengontrol aplikasi khusus. Misalnya aplikasi seperti e-bisnis, perencanaan sumber daya perusahaan (ERP system), atau perangkat lunak lain.
- Memberikan jaminan atas proses tertentu. Hal ini mungkin berupa “prosedur audit yang disepakati” di mana klien dan auditor IT menentukan cakupan jaminannya.
- Memberikan jaminan kepada pihak ketiga. Auditor IT seringkali harus mengevaluasi risiko dan kontrol atas sistem informasi pihak ketiga dan memberikan jaminan kepada orang lain.
g. Proses Audit
Audit adalah Suatu pemeriksaan yang dilakukan secara kritis dan sistematis oleh pihak yang independen, terhadap laporan keuangan yang telah disusun oleh manajemen beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan tersebut.”
Audit adalah “Suatu proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat menentukan dan melaporkan kesesuaian informasi dengan kriteria- kriteria yang telah ditetapkan. Auditing seharusnya dilakukan oleh seorang yang independen dan kompeten.”
Proses Audit dapat di artikan sebagai aktifitas mengolah masukan (input) menjadi keluaran (output) yang berguna/memiliki nilai tambah (value added). Demikian jugan dengan proses audit, dapat dipandang sebagai aktifitas pengumpulan dan evaluasi bukti-bukti yang mendukung informasi/laporan yang disajikan auditee, untuk meningkatkan keyakinan (assurance) bagi pemakainya, bahwa laporan tersebut dapat dipakai sebagai dasar untuk pengambilan keputusan.
C. PENGARUH PERKEMBANGAN TEKNOLOGI INFORMASI TERHADAP PROSES AUDIT
Kemajuan IT telah mengubah cara perusahaan dalam mengumpulkan data, memproses dan melaporkan informasi keuangan Oleh karena itu auditor akan banyak menemukan lingkungan dimana data tersimpan lebih banyak dalam media elektronik dibanding media kertas. Auditor harus menentukan bagaimana perusahaan menggunakan systemTI untuk meng-inisiasi, mencatat, memproses dan melaporkan transaksi dalam laporan keuangan. Sebenarnya tidak ada perbedaan konsep audit yang berlaku untuk system yang kompleks dan system manual, yang berbeda hanyalah metode-metode spesifik yang cocok dengan situasi system informasi akuntansi yang ada. Pemahaman ini diperlukan dalam rangka mendapatkan pemahaman internal control yang baik agar dapat merencanakan audit dan menentukan sifat, timing dan perluasan pengujian yang akan dilakukan.
Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.
Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan audit sistem informasi (teknologi informasi). Audit IS merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit IS relatif baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan IT untuk mensupport aktifitas bisnis.
D. Audit IT
Yaitu pendekatan audit dengan memperlakukan komputer sebagai kotak hitam, teknik ini tidak menguji langkah-langkah proses secara langsung, hanya berfokus pada input dan output dari sistem komputer.
Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science.
Tahapan-tahapan dalam audit IT pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program.
Menurut standar pada dasarnya auditor keuangan melakukan pengujian berikut:
1. Uji kepatuhan terhadap prosedur yang berlaku (otorisasi, kelengkapan, keakuratan),
2. Uji Substantif (Uji terhadap transaksi dan hasil pengolahan),
3. Pengolahan kembali transaksi dalam prosedur pengujian kepatuhan atau substantive.
Tentunya luasnya pengujian terkait dengan resiko deteksi yang dapat diterima oleh auditor. Jenis dan luas pengujian tidak tergantung besarnya perusahaan tetapi ditentukan oleh kompleksitas lingkungan IT yang ada seperti luasnya system on-line yang digunakan, tipe dan signifikansi transaksi keuangan, serta sifat dokumen / database, serta program yang digunakan.
Beberapa contoh situasi yang memerlukan pengujian pengendalian control :
1. System IT yang digunakan untuk otomasi: proses inisiasi, recording, prosessing dan pelaporan keuangan seperti ERP,(Gambar 1)
2. Electronic data interchange dan payment transfer system yang secara elektronik men-transmit order dan pembayaran,
3. Program computer yang berisi algoritma dan formula yang melakukan kalkulasi otomatis seperti komisi, allowance for doubtful account, reorder point, loan reserve dan kalkulasi dana pension.
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
· Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
· Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya IT yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
a. Keahlian Audit IT
Untuk melakukan pekerjaannya, auditor IT membutuhkan pelatihan dan pendidikan. Auditor TI setidaknya harus memiliki gelar sarjana. lulusan ini pada umumnya mempunyai pendidikan tentang sistem informasi, ilmu komputer, dan / atau akuntansi. Selain sarjana pendidikan dasar, banyak auditor TI memiliki gelar sarjana dan sertifikasi khusus atau lisensi. Sertifikasi dapat cukup umum. seperti Certified Public Accountant (CPA), Certified Fraud Examiner (CFE), Certified Internal Auditor (CIA), atau Certified Information Systems Auditor (CISA)
Sertifikasi potensial lainnya adalah Certified Information System Security Professional (CISSP) penunjukan. Kepercayaan adalah terutama penting dalam industri keamanan komputer. Setelah semua, bagaimana Anda tahu bahwa spesialis keamanan Anda menyewa bukan hacker? Oleh sebab itu, International Information System Security Certification Consortium (ISC)2, Sebuah asosiasi keamanan nirlaba, menciptakan CISSP. Sertifikasi tersebut memerlukan tiga tahun pengalaman kerja praktis dan calon harus lulus ujian yang mencakup topik-topik seperti kriptografi, sistem kontrol akses, arsitektur keamanan, keamanan operasi, dan masalah hukum dan etika.
b. Tugas Auditor IT
Auditor IT memastikan tata kelola IT. Disamping itu Auditor IT juga dapat menilai risiko dan melaksanakan atau memantau kontrol atas risiko tersebut. Peran auditor IT bervariasi sesuai dengan posisi mereka di dalam atau di luar organisasi dan dengan proyek individu tertentu. Tingkat keahlian yang diperlukan untuk juga bervariasi dari yang sangat teknis hingga yang memerlukan keterampilan komunikasi yang baik.
Auditor TI bekerja baik sebagai auditor internal atau eksternal. Auditor tersebut kemungkinan akan menilai risiko dan kontrol TI. Kadang-kadang hal ini dilakukan sebagai pendukung untuk pekerjaan audit keuangan, dan pada waktu lain tujuan evaluasi risiko dan kontrol TI dilakukan untuk kepentingan diri sendiri. Pada dasarnya auditor TI dapat memberikan jaminan atau memberikan kenyamanan atas apa saja yang berhubungan dengan sistem informasi. Disamping itu, terdapat beberapa jenis pekerjaan yang dapat dilakukan oleh auditor IT termasuk:
a. Mengevaluasi dan mengontrol aplikasi khusus. Misalnya aplikasi seperti e-bisnis, perencanaan sumber daya perusahaan (ERP system), atau perangkat lunak lain.
b. Memberikan jaminan atas proses tertentu. Hal ini mungkin berupa “prosedur audit yang disepakati” di mana klien dan auditor IT menentukan cakupan jaminannya.
c. Memberikan jaminan kepada pihak ketiga. Auditor IT seringkali harus mengevaluasi risiko dan kontrol atas sistem informasi pihak ketiga dan memberikan jaminan kepada orang lain.
d. Pengujian akan adanya resiko pembobolan data. Hal ini melibatkan proses untuk mencoba mendapatkan akses ke sumber daya informasi untuk menemukan kelemahan dari sistem keamanan.
e. Pendukung audit keuangan. Hal ini mencakup evaluasi mengenai resiko dan control IT yang dapat mempengaruhi keandalan sistem pelaporan keuangan.
f. Menyelidiki penipuan berbasis IT. IT auditor bisa dipanggil untuk membantu investigasi dalam penyelidikan penipuan
c. Jenis Audit IT
a. Sistem dan Aplikasi
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
b. Fasilitas Pemrosesan Informasi
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
c. Pengembangan system
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
d. Arsitektur perusahaan dan manajemen TI
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
e. Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.
d. Metodologi Audit IT
Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut :
a. Tahapan Perencanaan
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
b. Mengidentifikasikan reiko dan kendali
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
c. Mengevaluasi kendali dan mengumpulkan bukti-bukti
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
d. Mendokumentasikan
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audite.
e. Menyusun laporan
· Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
· Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
· Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
· Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
· Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
· Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
e. Risiko pada Audit IT
Pemrosesan data menjadi informasi dapat dilakukan secara manual atau dengan menggunakan peralatan elektronik berupa komputer. Kemajuan dalam teknologi komputer mempunyai dampak yang luar biasa pada seluruh aspek kegiatan usaha. Akuntansi, sudah barang tentu tidak terlepas dari dampak tersebut. Dalam sistem akuntansi manual, data sebagai masukan (input) diproses menjadi informasi sebagai keluaran (output) dengan menggunakan tangan. Pada sistem akuntansi yang berkomputer atau yang lebih sering disebut Pemrosesan Data Elektronik (EDP), data sebagai input juga diproses menjadi informasi sebagai output. Keuntungan yang dapat dilihat secara jelas dari penggunaan komputer ini adalah kecepatan, ketepatan, dan kemudahan dalam memproses data menjadi informasi akuntansi. Disamping keuntungan tersebut, ada beberapa hal yang perlu diperhatikan dalam menggunakan komputer sebagai alat pengolah data yaitu resiko-resiko yang khas dalam suatu lingkungan akuntansi berbasis komputer.
Auditor harus menyadari resiko-resiko ini karena hal ini merupakan ancaman yang tidak ada dalam proses akuntansi manual.Resiko-resiko dalam lingkungan pemrosesan data elektronik antara lain:
1. Penyalahgunaan teknologi adalah penggunaan teknologi baru sebelum adanya kepastian yang jelas mengenai kebutuhannya. Banyak organisasi memperkenalkan teknologi database tanpa menetapkan dengan jelas kebutuhan akan teknologi tersebut. Pengalaman menunjukkan bahwa para pemakai awal (new user) suatu teknologi baru seringkali mengkonsumsi jumlah sumberdaya yang cukup besar selama mempelajari cara penggunaan teknologi baru tersebut.Penggunaan teknologi yang tidak layak antara lain:
1) Analis sistem atau pemrogram tidak mempunyai keahlian yang cukup untuk menggunakan teknologi tersebut.
2) Pemakai yang awam terhadap teknologi hardware yang baru.
3) Pemakai yang awam terhadap teknologi software yang baru.
4) Perencanaan yang minim untuk instalasi teknologi hardware dan software yang baru.
2. Dalam pemrosesan manual, kesalahan-kesalahan dibuat secara individual. Jadi seseorang dapat memproses satu pos dengan benar, membuat kesalahan pada pos berikutnya, memproses 20 pos berikutnya dengan benar dan kemudian membuat kesalahan lainnya lagi.Dalam sistem yang terintregasi (automatically), aturan-aturan diterapkan secara konsisten. Jadi, jika aturan-aturannya benar, pemrosesannya akan selalu benar. Tetapi jika aturan-aturannya salah, pemrosesannya akan selalu salah. Kondisi-kondisi yang mengakibatkan pengulangan kesalahan meliputi:
1) Tidak cukupnya pengecekan atas pemasukan informasi input.
2) Tidak cukupnya tes atas program
3) Tidak dimonitornya hasil-hasil dari pemrosesan
3. Kesalahan berantai merupakan ‘efek domino’ dari kesalahan-kesalahan di segenap sistem aplikasi. Kesalahan suatu bagian program atau aplikasi akan berakibat pada kesalahan kedua yang meskipun tidak berkaitan di bagian lain aplikasi. Kesalahan kedua ini dapat berakibat kesalahan ketiga dan seterusnya. Resiko kesalahan berantai sering dikaitkan dengan pelaksanaan perubahan sistem aplikasi. Perubahan dilaksanakan dan diuji dalam program di mana perubahan terjadi. Namun demikian, beberapa kondisi dapat berubah karena adanya perubahan yang menimbulkan kesalahan di bagian lain sistem aplikasi tersebut.Rantai kesalahan dapat terjadi di antara aplikasi-aplikasi. Resiko ini akan semakin besar sejalan dengan semakin terpadunya aplikasi.
4. Resiko yang timbul meliputi kegagalan untuk mengimplementasikan kebutuhan karena para pemakai tidak memiliki kemampuan teknis. Dampaknya adalah kebutuhan yang diimplementasikan adalah kebutuhan yang tidak layak karena personil teknis tidak mì mahami kebutuhan sebenarnya dari pemakai. Akibat lainnya adalah munculnya sistem manual yang semakin besar untuk menutup kelemahan- kelemahan dalam aplikasi komputer. Kondisi ketidakmampuan menerjemahkan kebutuhan pemakai ini disebabkan antara lain:
Para pemakai tidak memiliki keahlian teknis EDP
1) Orang-orang teknis tidak memiliki pemahaman yang cukup mengenai permintaan pemakai.
2) Ketidakmampuan untuk merumuskan permintaan dengan cukup terinci.
3) Sistem yang digunakan oleh banyak ‘user’ tanpa ada ‘user ‘ yang bertanggung jawab atas sistem tersebut.
5. Ketidakmampuan dalam mengendalikan teknologi.Pengendalian memang sangat diperlukan dalam penggunaan lingkungan berteknologi. Pengendalian-pengendalian akan menjamin bahwa versi yang tepat berada digunakan pada saat yang tepat; bahwa file-file yang tepat digunakan; bahwa para operator komputer melaksanakan instruksi yang tepat; prosedur yang memadai dikembangkan untuk mencegah, mendeteksi dan memperbaiki permasalahan yang terjadi; dan bahwa data yang tepat disimpan dan kemudian diperoleh dengan mudah jika diperlukan.Kondisi yang menimbulkan teknologi yang tak terkendali mencakup:
1) Pemilihan kemampuan pengendalian sistem yang ditawarkan oleh rekanan pemrogram sistem yang tanpa memperhatikan kebutuhan audit.
2) Terlalu banyaknya pengendalian yang dikorbankan demi menjaga efisiensi operasi.
3) Prosedur-prosedur untuk memulai kembali/pemulihan (recovery data) yang tidak memadai.
E. MENILAI RISIKO AUDIT
Meskipun IT meningkatkan pengendalian intern perusahaan, hal ini juga dapat mempengaruhi resiko-resiko pengendalian perusahaan secara keseluruhan. resiko khusus pada sistem TI yaitu:
1. Resiko pada perngkat keras
Meskipun IT memberikan manfaat pemrosesan yang signifikan, hal itu juga menciptakan resiko yang unik dalam melindungi perangkat keras dan data, termasuk potensi munculnya jenis kesalahan baru. Resiko khusus ini mencakup hal-hal berikut:
a. Ketergantungan pada kemampuan berfungsinya perangkat keras dan lunak. Tanpa perlindungan fisik yang baik perangkat keras dan oerangkat lunak tidak dapat digunakan dengan baik,. karena itu sangat penting melindungi secara fisik dari kerusakan fisik yang mungkin diakibatkan dari penggunaan yang tidak semestinya, sabotase atau kerusakan lingkungan
b. Kesalahan sistematis versus kesalahan acak
c. Akses yang tidak sah salah
d. Hilangnya data
2. Jejak audit yang berkurang
Salah saji mungkin tidak terdeteksi dengan meningkatnya penggunaan IT akibat hilangnya jejak audit secara nyata , termasuk berkurangnya keterlibatan manusia. selain itu, computer juga menggantikan jenis otorisasi tradisional dalam banyak sistem IT.
- Visibilitas jejak audit. karena sebagian besar informasi dimasukan secara langsung ke dalam computer, penggunaan IT sering kali mengurangi atau bahkan meniadakan dokumen dan catatan sumber yang memungkinkan organisasi menelusuri informasi akuntansi.
- Keterlibatan Manusia yang berkurang. Dalam banyak sistem IT, karyawan yang terlibat dengan pemrosesan awal transaksi tidak pernah melihat hasil akhirnya. Karena itu, mereka kurang mampu mengidentifikasi salah saji pemrosessan, Walapun mereka melihat outout akhir, sering kali sulit untuk mengenali salah saji karena hasilnya sering sangat ringkas.
- Tidak adanya otorisasi traditiona. Sistem IT yang sangat canggih biasanya diprakarsai jenis transaksi tertentu secara otomatis, seperti perhitungan bunga atas rekening tabungan bank dan pemesanan persediaan apabila tingkat pesanan yang dtentukan telah dicapai,
3. Kebutuhan IT akan pengalaman dan pemisahan tugas
Sistem IT mengurangi sistem pemisahan tugas traditional (otorisasi, pembukuan, penyimpanan) dan menciptakan kebutuhan akan pengalaman IT tambahan.
- Pemisahan tugas yang berkurang.
- Kebutuhan dan pengalaman IT
Undang – Undang Dalam Audit pada Tekhnologi Informasi
1. ISO / IEC 17799 and BS7799
Isi ISO 17799, meliputi :
· 10 control clauses (10 pasal pengamatan)
· 36 control objectives (36 objek/sasaran pengamanan)
· 127 controls securiy (127 pengawasan keamanan)
10 control clouse tersebut, antara lain:
a. Security Policy
b. System Access Control
c. Communication & Operations Management
d. System Development and Maintenance
e. Physical and Environmental Security
f. Compliance
g. Personnel Security
h. Security Organization (Information Security)
i. Asset Classification and Control
j. Business Continuity Management (BCM)
Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar kontinuitas bisnis dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan informasi informasi krusial yang dimiliki oleh perusahaan. Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah non teknis salah satunya penggunaan password oleh lebih dari satu orang. Hal ini menunjukan tidak adanya kepatuhan dalam menerapkan sistem keamanan informasi. Harus dilakukan inventarisasi data-data perusahaan. Selanjutnya dibuat peraturan yang melibatkan semua departemen sehingga peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan tersebut dapat diterapkan. Security Policy meliputi berbagai aspek, yaitu :
a. Information security infrastructure
b. Information security policy
System Access Control (sistem kontrol akses), mengendalikan/membatasi akses user terhadap informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian secara mobile computing ataupun tele-networking. Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada meliputi berbagai aspek, yaitu :
a. Access control.
b. User Access Management.
c. User Responsibilities.
d. Network Access Control
e. Operation System access Control
f. Application Access Control.
g. Monitor system Access and use.
h. Mobile Computing and Telenetworking.
Communication and Operations Management (manajemen komunikasi dan operasi), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu :
a. Operational procedures and reponsibilities.
b. System Planning and acceptance.
c. Protection against malicious software.
d. Housekeeping
e. Network Management.
f. Media handling and security.
g. Exchange of Information and software.
System Development and Maintenance (pengembangan sistem dan pemeliharaan), memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi/validasi terlebih dahulu sebelum diluncurkan ke live environment. Penelitian untuk pengembangan dan perawatan sistem yang ada meliputi berbagai aspek, yaitu :
a. Security requirements of system.
b. Security in application system.
c. Cryptographic control
d. Security of system files
e. Security in development and support process.
Physical and Environmental Security (keamanan fisik dan lingkungan), membahas keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/ kerusakan data yang diakibatkan oleh lingkungan, termasuk bencana alam dan pencurian data dalam media penyimpanan atau fasilitas informasi yang lain. Aspek yang dibahas antara lain:
a. Secure Areas
b. Equipment security
c. General Control
Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk persyaratan kontraktual melalui audit sistem secara berkala. Kepatuhan yang mengarah kepada pembentukan prosedur dan aturan – aturan sesuai dengan hukum yang berlaku meliputi berbagai aspek, yaitu :
a. Compliance with legal requirements
b. Reviews of security policy and technical comliance.
c. System audit and consideration
Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia (human error), sehingga mampu mengurangi human error dan manipulasi data dalam pengoperasian sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness agar setiap user mampu menjaga keamanan informasi dan data dalam lingkup kerja masing-masing. Personnel Security meliputi berbagai aspek, yaitu :
a. Security in Job Definition and Resourcing.
b. User Training.
c. Responding to Security Incidens and Malfunction.
Security Organization (organisasi keamanan), mengatur tentang keamanan secara global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem informasi internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu :
a. Security of third party access
b. Outsourcing
Asset Classification and Control (klasifikasi dan kontrol aset), memberikan perlindungan terhadap aset berusahaan dan aset informasi berdasarkan level proteksi yang ditentukan. Membahas tentang penjagaan aset yang ada meliputi berbagai aspek, diantaranya :
a. Accountability for Assets.
b. Information Classification.
Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko kegagalan yang utama ataupun ”disaster” atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk kelangsungan proses bisnis, dengan mempertimbangkan:
a. Aspects of business continuity management
Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien. 36 objek pengamatan/pengawasan keamanan merupakan uraian dari aspek 10 control clouse tersebut.
F. PERANAN TEKNOLOGI INFORMASI TERHADAP AUDIT SISTEM INFORMASI KOMPUTERISASI AKUNTANSI
Peranan teknologi informasi pada aktivitas manusia saat ini memang begitu besar. Teknologi informasi telah menjadi fasilitator utama bagi kegiatan-kegiatan bisnis yang, memberikan andil besar terhadap perubahanperubahan mendasar bagi struktur, operasi dan manajemen organisasi. Jenis pekerjaan dan tipe pekerja yang dominan di Jaman Teknologi Informasi adalah otonomi dan wewenang yang lebih besar dalam organisasi.
Boundaryless organization adalah kondisi organisasi yang digunakan dalam teknolog informasi dengan batas-batas horisontal vertikal, eksternal dan geografis yang sehat Menipisnya batas horisontal mengakibatkan berkurangnya birokrasi sehingga organisasi menjadi lebih datar, dan karyawan menjadilebih berdaya (empowered employees) dan menjadikan terwujudnya kerja sama lintas fungsional dalam memenuhi kebutuhan customers yang kompleks. Menipisnya batas eksternal menjadikan perusahaan lebih berfokus ke penyediaan produk dan jasa yang menjadi kompetensi intinya (care competence). Untuk memenuhi kebutuhan customers yang kompleks, perusahaan membangun jejar ing organisasi (organization network), yang di dalamnya setiap perusahaan menjadi anggota jejaring sehingga mampu menghasilkan value terbaik bagi customers, karena koordinasi tidak lagi dijalankan melalui ”command and control mode” namun koordinasi dilaksanakan melalui komunikasi, persuasi dan kepercayaan (trust). Kekohesivan organisasi yang menggunakan tim lintas fungsional, dan yang mempekerjakan karyawan yang berdaya, serta yang menggunakan jejaring organisasi dalam mewujudkan tujuan organisasi ditentukan dari seberapa jelas misi dan visi organisasi dirumuskan dan keberhasilan pengomunikasian strategi tersebut kepada seluruh personel organisasi dan seluruh organisasi dalam jejaring. Pemberdayaan karyawan yang dilandasi oleh trust-based relationship antar manajer dan karyawan menjadikan Information sharing dapat meningkatkan tuntutan tentang otonomi dan wewenang di kalangan karyawan,Persuasi menjadi pilihan untuk menggantikan komando, karena knowledge workers menjadi dominan dalam mewujudkan visi organisasi. dalam memacu komitmen karyawan untuk mengubah strategi menjadi tindakan nyata.
Berkat teknologi ini, berbagai kemudahan dapat dirasakan oleh manusia seperti:
· Teknologi informasi melakukan otomasi terhadap suatu tugas atau proses yang menggantikan peran manusia.
· Teknologi informasi berperan dalam restrukturisasi terhadap peran manusia yang melakukan perubahan-perubahan terhadap sekumpulan tugas atau proses.
· Teknologi informasi memiliki kemampuan untuk mengintegrasikan berbagai bagian yang berbeda dalam organisasi dan menyediakan banyak informasi ke manajer
· Teknologi informasi juga memengaruhi antarmuka-antarmuka organisasi dengan lingkungan, seperti pelanggan dan pemasok.
· Teknologi informasi dapat digunakan membentuk strategi untuk menuju keunggulan yang kompetitif (O’Brien, 1996), antara lain:
1) Strategi biaya: meminimalisir biaya/memberikan harga yang lebih murah terhadap pelanggan, menurunkan biaya dari pemasok.
2) Strategi diferansiasi: mengembangkan cara-cara untuk membedakan produk/ jasa yang dihasilkan perusahaan terhadap pesaing sehingga pelanggan menggunakan produk/jasa karena adanya manfaat atau fitur yang unik.
3) Strategi inovasi: memperkenalkan produk/jasa yang unik, atau mem buat perubahan yang radikal dalam proses bisnis yang menyebabkan perubahan-perubahan yang mendasar dalam pengelolaan bisnis.
4) Strategi pertumbuhan: mengembangkan kapasitas produksi secara signifikan, melakukan ekspansi ke dalam pemasaran global, melakukan diversifikasi produk/jasa bam, atau mengintegrasikan ke dalam produk/jasa yang terkait.
5) Strategi aliansi: membentuk hubungan dan aliansi bisnis yang baru dengan pelanggan pemasok, pesaing, konsultan, dan lain-lain.
No comments:
Post a Comment