Selasa, 26 Desember 2017

AUDIT TEKNOLOGI SISTEM INFORMASI TUGAS 1



AUDIT TEKNOLOGI SISTEM INFORMASI

1.   PENGERTIAN AUDIT TEKNOLOGI SISTEM INFORMASI
Audit Sistem Informasi ialah proses mengumpulkan dan mengevaluasi fakta untuk memutuskan apakah sistem komputer yang merupakan aset bagi perusahaan terlindungi, integritas data terpelihara, sesuai dengan tujuan organisasi untuk mencapai efektifitas dan efisiensi dalam penggunaan sumber daya. Awalnya, istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target.

2.   TUJUAN AUDIT SISTEM INFORMASI
Proses audit sistem informasi dilakukan dengan tujuan akan tercapainya perbaikan atau peningkatan kinerja terkait dengan keamanan asset, integritas data serta efektifitas dan efisiensi penggunaan sistem.

Beberapa objek yang menjadi tujuan audit adalah meliputi:
A.    Objek Perlindungan Aset (Asset Safeguarding Objectives)
Aset SI didalam organisasi adalah HW, SW, fasilitas, user (konwledge), file data, dokumentasi sistem dan persediaan barang. Sebaiknya semua aset harus dilindungi oleh sistem pengendalian internal.
B.     Objek Integritas Data (Data Integrity Objectives)
Integriti data ialah konsep dasar didalam audit SI. Data terdiri dari atribut-atribut yang berisi: kelengkapan, dapat dipercaya, bersih dan benar. Jika integritas data tidak dipelihara, maka organisasi tidak akan mendapatkan represntasi data yang benar untuk suatu aktifitas, akibatnya organisasi tidak dapat berkompetisi.
C.    Objek Efektivitas Sistem (System Effectiveness Objectives)
Audit efektivitas sering dilakukan setelah sistem berjalan untuk beberapa waktu. Manajemen membutuhkan hasil audit efektivitas untuk mengambil keputusan apakah sistes terus dijalankan atau dihentikan sementara untuk proses modifikasi.

D.  Objek Efisiensi Sistem (System Efficiency Objectives)
            Efisiensi SI dilakukan dengan cara menggunakan sumber daya minimum untuk menyelesaikan suatu tujuan objek. Variasi sumber daya terdiri dari mesin, waktu, peripheral, S/W sistem dan pekerja. Tujuan dari perlindungan aset, integritas data, efektivitas sistem dan efisiensi sistem dapat dicapat dengan baik jika manajemen organisasi meningkatkan sistem pengendalian onternalnya.


3.   METODE DAN ALAT TSI.

Seluruh audit menggunakan urutan kegiatan yang hampir sama, hingga dapat dibagi ke dalam empat langkah:
  1. Merencanakan audit 
  2. Mengumpulkan bukti audit 
  3. Mengevaluasi bukti audit 
  4. Mengkomunikasikan hasil audit

Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi :
  1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
  2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen. 
  3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen. 
  4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
  5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan. 
  6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya. 
Menurut Weber (1999, p.55-57), metode audit meliputi:

1. Auditing around the computer

Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai black box, maksudnya metode ini tidak menguji langkah-langkah proses secara langsung, tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer.

Kelemahan dari pendekatan ini jika lingkungan berubah, maka kemungkinan sistem itu berubah dan perlu penyesuaian sistem, sehingga auditor tidak dapat menilai apakah sistem masih berjalan dengan baik.

Keunggulan dari pendekatan ini adalah pelaksanaan audit lebih sederhana, dan bagi auditor yang memiliki pengetahuan yang minim di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.

2. Auditing through the computer

Merupakan suatu pendekatan audit yang berorientasi pada komputer dengan membuka black-box, dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer.

Keuntungan utama dari pendekatan ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan pengujian yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap kehandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan.

Kelemahan pendekatan audit ini diantaranya biaya yang dibutuhkan relatif tinggi serta membutuhkan keahlian dari sisi tehnik secara mendalam.

3. Auditing with the computer

Merupakan suatu pendekatan audit dengan menggunakan komputer sendiri (audit software) untuk membantu melaksanakan langkah-langkah audit. Auditing sistem informasi berdasarkan komputer terdiri dari penggunaan komputer itu sendiri, teknik auditing dengan metode ini sangat berguna selama pengujian substantif atas file dan record suatu perusahaan. Sebaliknya, teknik auditing melalui komputer adalah teknik yang membantu dalam pengujian ketaatan.

4.   REGULASI AUDIT TSI.

Regulasi mengenai audit TSI diatur dalam Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia, seperti contohnya :
  • Rancangan Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia Tentang Pedoman Umum Audit  Sistem Elektronik Penyelenggara Pelayanan Publik
  • Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia Tahun 2015 Tentang Pedoman Teknis Audit Manajemen Keamanan Sistem Elektronik Pada Penyelenggara Pelayanan Publik

5.   TAHAPAN AUDIT SISTEM INFORMASI
Tahapan audit menurut Gallegos. Dalam bukunya, “Audit and Control of Information System” yang mencakup beberapa aktivitas, yaitu :
1.      Perencanaan (Planning)
Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi. Perencanaan meliputi beberapa aktivitas utama, yaitu:
·         Penetapan ruang lingkup dan tujuan audit
·         Pengorganisasian tim audit
·         Pemahaman mengenai operasi bisnis klien
·         Kaji ulang hasil audit sebelumnya
·         Penyiapan program audit
2.      Pemeriksaan Lapangan (Field Work)
Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.
3.      Pelaporan (Reporting)
Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.
4.      Tindak Lanjut (Follow Up)
Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang. Menurut Weber (2001), tahapan-tahapan audit sistem informasi terdiri dari:
a.      Investigasi dan Penyelidikan Awal
Merupakan tahapan pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan yang ada unutk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai melaukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien dan mengidentifikasi area resiko.
b.      Pengujian atas Control (Tests of Controls)
Tahap ini dimulai dengan pemfokusan pada pengendalian menegemen, apabila hasil yang ada tidak sesuai dengan harapan, maka pengendalian manegemen tidak berjalan sebagai mana mestinya. Apabila auditor menemukan kesalahan yang serius pada pengendalian manegemen, maka mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya.
c.       Pengujian atas Transaksi (Tests of Transaction)
Pengujian yang termasuk adalah pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna dalam pengujian ini dan auditor dapat mengunakan software audit yang umum untuk mengecek apakah pembayaran bunya dari bank telak dikalkulasi secara tepat.
d.      Pengujian atas Keseimbangan atau Hasill Keseluruhan (Tests of Balances or Overall Results)
Auditor melakukan pengujian ini agar bukti penting dalam penilaian akhir kehilangan atau pencatatan yang keliru yang menyebabkan fungsi sistem informasi gagal dalam memelihara data secara keseluruhan dan mencapai sistem yang efekti dan efesien. Dengan kata lain, dalam tahap ini mementingkan pengamatan asset dan integritas data yang obyektif.

e.       Penyelesaian Audit (Completion of The Audit)
Tahap terakhir ini, auditor eksternal melakukan beberapa pengujian tambahan untuk mengoleksi bukti untuk ditutup dengan memberikan pernyataan pendapat.

4.     STANDARD AUDIT SISTEM INFORMASI
SASI IASII berlaku bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai berlaku efektif sejak tanggal 01 Januari 2007, standard tersebut adalah sebagai berikut :
a)      Penugasan Audit
·         Tanggung jawab, wewenang, dan akuntabilitas
Tanggung jawab, wewenang, dan akuntabilitas dari auditor sistem informasi harus dinyatakan dengan jelas secara formal dan tertulis dalam piagam atau surat tugas audit sistem informasi serta disetujui secara bersama oleh auditor sistem informasi dan pemberi tugas.
b)     Independensi & Obyektifitas
·         Independensi
Dalam berbagai hal yang berkaitan dengan audit sistem informasi, auditor sistem informasi harus menjaga independensinya, baik secara faktual maupun penampilan, dari organisasi atau hal yang diaudit.
·         Obyektifitas
Selain itu, auditor sistem informasi harus menjaga obyektifitasnya dalam merencanakan, melaksanakan dan melaporkan audit sistem informasi.
c)      Profesionalisme & Kompetensi
·         Profesionalisme
Auditor sistem informasi harus memenuhi berbagai standar audit yang berlaku serta menerapkan kecermatan dan ketrampilan profesionalnya dalam merencanakan, melaksanakan, dan melaporkan audit sistem informasi.
·         Kompetensi
Selain itu, auditor sistem informasi, secara kolektif, harus memiliki atau memperoleh pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi.
·         Pendidikan Profesi Berkelanjutan
Auditor sistem informasi harus meningkatkan pengetahuan dan keahlian yang diperlukan untuk melaksanakan audit sistem informasi melalui pendidikan profesi berkelanjutan.
d)     Perencanaan
·         Perencanaan Audit
Auditor sistem informasi harus merencanakan audit sistem informasi dengan baik agar dapat mencapai tujuan audit serta memenuhi standar audit yang berlaku.
e)      Pelaksanaan
·         Pengawasan
Staf audit sistem informasi harus disupervisi dengan baik untuk memberikan keyakinan yang memadai bahwa tujuan audit sistem informasi dapat tercapai dan standar audit yang berlaku dapat dipenuhi.

·         Bukti-bukti Audit
Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus memperoleh bukti-bukti audit yang cukup, dapat diandalkan dan bermanfaat untuk mencapai tujuan audit sistem informasi secara efektif. Temuan dan kesimpulan audit sistem informasi harus didukung oleh analisis dan interpretasi yang memadai atas bukti-bukti audit tersebut.

·         §  Kertas Kerja Audit
Dalam melaksanakan audit sistem informasi, auditor sistem informasi harus mendokumentasikan secara sistematis seluruh bukti-bukti audit yang diperoleh serta analisis yang dilakukannya.


f)       Pelaporan

·         §  Laporan Audit
Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor sistem informasi harus memberikan suatu laporan audit sistem informasi dalam bentuk yang memadai kepada pihak-pihak yang berhak menerima. Laporan audit sistem informasi harus menyatakan lingkup, tujuan, sifat penugasan, temuan, kesimpulan, rekomendasi, indentitas organisasi, penerima dan batasan distribusi laporan, serta batasan atau pengecualian yang berkaitan dengan pelaksanaan audit sistem informasi.

g)      Tindak Lanjut

·         §  Pemantauan Tindak Lanjut
Auditor sistem informasi harus meminta dan mengevaluasi informasi yang dipandang perlu sehubungan dengan temuan, kesimpulan dan rekomendasi audit yang terkait dari audit sebelumnya untuk menentukan apakah tindak lanjut yang layak telah dilaksanakan dengan tepat waktu.

6.   MANAJEMEN RESIKO

 I.            Pengertian Manajemen Resiko
Manajemen risiko terdiri dari dua kata berbeda. Seperti yang kita tahu manajemen secara umum berarti mengorganisir. Sedangkan dalam KBBI kata risiko berarti : akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan. Dalam bisnis sendiri, risiko berkaitan dengan hasil aktual yang tidak sesuai dengan hasil harapan. Jadi manajemen risiko adalah proses identifikasi, analisis, penilaian, pengendalian, dan penghindaran, minimalisasi, atau penghapusan risiko yang tidak dapat diterima.
II.            Cara Melakukan Manajemen Risiko dengan Efektif
Kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu:

–      Lingkungan internal (internal environment)
–      Penentuan sasaran (objective setting)
–      Identifikasi peristiwa (event identification)
–      Penilaian risiko (risk assessment)
–      Tanggapan risiko (risk response)
–      Aktivitas pengendalian (control activities)
–      Informasi dan komunikasi (information and communication)
–      Pemantauan (monitoring)
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)