Prinsip Laporan Audit
Hasil Laporan audit merupakan media
yang dipakai oleh auditor dalam berkomunikasi dengan klien. Laporan
audit berupa komunikasi dan ekspresi auditor terhadap objek yang diaudit agar
laporan atau ekspresi auditor tadi dapat dimengerti maka laporan itu harus
mampu dipahami oleh penggunanya. Laporan
audit seharusnya merupakan alat komunikasi yang efektif dan mempunyai dampak
psikologis (positif maupun negatif) bagi auditor maupun auditee, terutama
individu yang terlibat. Jika suatu rekomendasi tidak ditindaklanjuti oleh
auditee atau pihak lain yang terkait, maka hal tersebut berarti komunikasi
tertulis yang dilakukan oleh auditor tidak efektif
Laporan audit TI ini terdiri dari:
1. Maksud dan tujuan dari review pengendalian terhadap
penerapan TI di klien.
2. Ruang lingkup dan
referensi pengendalian yang digunakan sebagai bahan acuan penilaian
pengendalian TI yang diterapkan dalam klien.
3. Metodologi review
merupakan langkah-langkah audit dan teknik pemerolehan informasi untuk
mendukung laporan review.
4. Pernyataan
penjelasan hasil review:
a. Permasalahan,
menjelaskan pokok masalah yang saat ini dihadapi oleh klien.
b. Temuan,
menjelaskan bukti audit untuk mendukung kesimpulan masalah.
c.
Kriteria/standar,
menjelaskan pengendalian yang seharusnya diterapkan oleh klien.
d.
Kondisi, menjelaskan
sebab dan akibat serta aktifitas/kegiatan terkini.
e.
Risiko, menjelaskan
potensi dan dampak negatif terhadap hilangnya atau tidak diterapkannya
pengendalian.
f.
Tanggapan manajemen,
menjelaskan komentar dan tanggapan manajemen terhadap permasalahan dan temuan
yang telah disampaikan.
g. Rekomendasi, menjelaskan saran-saran perbaikan dan
implementasi penge pengendalian yang harus diterapkan dalam kegiatan/aktifitas
klien.
Pentingnya suatu temuan dan rekomendasi bagi pembaca sebagian
besar tergantung dari lingkup penerapannya serta konsekuensi-konsekuensi
praktis darinya (baik yang telah atau mungkin akan terjadi). Karena itu penting
bagi auditor untuk mengetengahkan keuntungankeuntungan praktis dari
rekomendasinya dan merancang rekomendasi itu sedemikian rupa sehingga diperoleh
manfaat sebesar mungkin. Dalam kasus dimana terdapat ketidaktaatan terhadap
ketentuan, auditor harus merekomendasikan tindakan khusus guna memperbaiki situasi
dan bukan hanya merekomendasikan agar ketentuan yang bersangkutan ditaati.
Dalam menyusun konsep rekomendasi auditor harus dengan seksama mempertimbangkan
biaya untuk melaksanakan rekomendasi dibandingkan dengan manfaat/ keuntungan
yang dapat diperoleh. Sejauh mungkin laporan hasil audit harus menyertakan
informasi yang menunjukkan bahwa rekomendasi tersebut dapat
dipertanggungjawabkan dari segi biaya. Sedapat mungkin rekomendasi ditempatkan
segera setelah temuan yang bertalian dengannya
Pelaksanaan audit system informasi dilaksanakan
berdasarkan risk-based approach dengan mengacu pada:
1. Pernyataan
Standar Audit 57, 59, 60, 63, 64 dan 65
2. COBIT
3. ISO
4.
best practices lainnya (ISACA Guidelines, CISA 2007, COSO, Sarbanes-Oxley
Act, SANS) Pelaksanaan audit dilakukan dengan
Cara yang dapat dilaksanakan adalah:
1. Penyampaian
kuisioner
a. Kuisioner
Pengendalian Sistem Informasi
b.
Kuisioner
I – Analisis Pengelolaan Teknologi Informasi, Management Awareness
c. Kuisioner II –
Analisis Pengelolaan Teknologi Informasi, Information Technology Controls Diagnostic
2. Wawancara
3. Observasi
a. Major
application
b. Infrastruktur pendukung data center: air conditioning,
smoke detector, fire extinguisher, hydrant, dll.
c. Sistem Operasi
d. Database
e. Internet, LAN,
WAN
f. Perangkat Keras
dan Lunak
g. Kebijakan dan
Standard Operation Procedure
4. Studi kebijakan,
prosedur, dan dokumentasi
5. Pengujian dengan
menggunakan perangkat lunak
Salah satu referensi
Control
Objective for Information and related Technology (COBIT):
1. Mengamankan Aset
Sistem Informasi (Assets
Safeguarding)
Aset
informasi suatu entitas seperti perangkat keras (hardware), perangkat lunak (software), sumber daya
manusia, file/data dan fasilitas Teknologi Informasi lainnya harus dijaga
dengan sistem pengendalian internal yang baik agar tidak terjadi misefisiensi,
mis-efektifitas, dan penyalahgunaan aset entitas. Dengan demikian sistem
pengamanan aset sistem informasi merupakan suatu hal yang sangat penting yang
harus dipenuhi oleh entitas.
2. Efektifitas
sistem
Efektifitas
sistem informasi entitas memiliki peranan penting dalam proses pengambilan
keputusan usaha/bisnis. Suatu sistem informasi dapat dikatakan efektifbila
sistem informasi memberikan manfaat dan ketepatgunaan teknologi informasi dalam
operasi dan administrasi.
3.Efisiensi sistem
Efisiensi menjadi
sangat penting ketika sumber daya kapasitas yang dimiliki oleh entitas
terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak
manajemen, dalam hal ini mewakili entitas, harus mengevaluasi apakah efisiensi
sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan
efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya
informasi yang minimal.
4.Memberikan dan mengelola ketersediaan
layanan sistem informasi (Availability) Berhubungan dengan ketersediaan dukungan/layanan teknologi
informasi. Teknologi Informasi hendaknya dapat mendukung secara berkelanjutan
terhadap proses usaha/bisnis entitas. Makin sering terjadi gangguan (system downtime) maka berarti
tingkat ketersediaan sistem rendah.
5.
Menjaga kerahasiaan (Confidentiality)
Fokus
kerahasiaan disini ialah perlindungan terhadap informasi dan supaya terlindung dari akses dari
pihak-pihak yang tidak berwenang dan bertanggungjawab.
6.
Meningkatkan kehandalan (Reability)
Berhubungan dengan kesesuaian dan keakuratan bagi
manajemen dalam pengelolaan organ isasi,
pelaporan dan pertanggungjawaban.
7. Menjaga integritas data (Data
Integrity)
Integritas data adalah salah satu konsep dasar
sistem informasi. Data memiliki atributatribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika
integritas data tidak terpelihara, maka
suatu entitas tidak akan lagi memiliki informasi/laporan yang benar, bahkan entitas dapat menderita k kerugian karena
pengawasan yang tidak tepat atau keputusan-keputusan yang salah. Faktor utama yang
membuat data berharga bagi entitas dan pentingnya untuk menjaga integritas data
adalah:
a. Makna penting
data/informasi bagi pengambilan keputusan adalah peningkatan kualitas data
sehingga dapat memberikan informasi bagi para pengambil keputusan.
b. Nilai data bagi
pesaing entitas, jika data tersebut berguna bagi pesaing maka kehilangan data
akan memberikan dampak buruk bagi entitas. Pesaing dapat menggunakan data
tersebut untuk mengalahkan entitas saingannya sehingga mengakibatkan entitas
menjadi kehilangan pasar, berkurangnya keuntungan, dan sebagainya.
8. Menaati seluruh peraturan dan aturan yang ada dan
berlaku saat ini, baik itu di internal dan eksternal organisasi/entitas
(Compliance)
Ketaatan terhadap
peraturan yang berlaku baik itu didalam dan luar entitas memberikan dampak
positif dan bernilai tambah guna memberikan keyakinan yang cukup bagi para
pihak yang berkepentingan entitas khususnya para regulator bahwa entitas
menerapkan prinsip kehati-hatian dengan tidak meniadakan prinsip biayamanfaat dalam
melakukan kegiatan usaha/bisnis entitas khususnya kegiatan teknologi informasi.
OK...
BalasHapus