AUDIT TEKNOLOGI SISTEM INFORMASI
1.
PENGERTIAN AUDIT TEKNOLOGI SISTEM INFORMASI
Audit Sistem Informasi ialah proses mengumpulkan dan mengevaluasi fakta
untuk memutuskan apakah sistem komputer yang merupakan aset bagi perusahaan
terlindungi, integritas data terpelihara, sesuai dengan tujuan organisasi untuk
mencapai efektifitas dan efisiensi dalam penggunaan sumber daya. Awalnya,
istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit
teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari
semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target.
2.
TUJUAN AUDIT SISTEM INFORMASI
Proses audit sistem informasi dilakukan dengan tujuan akan tercapainya
perbaikan atau peningkatan kinerja terkait dengan keamanan asset, integritas
data serta efektifitas dan efisiensi penggunaan sistem.
Beberapa objek yang menjadi
tujuan audit adalah meliputi:
A. Objek
Perlindungan Aset (Asset Safeguarding Objectives)
Aset SI didalam organisasi adalah HW, SW, fasilitas, user (konwledge),
file data, dokumentasi sistem dan persediaan barang. Sebaiknya semua aset harus
dilindungi oleh sistem pengendalian internal.
B. Objek
Integritas Data (Data Integrity Objectives)
Integriti data ialah konsep dasar didalam audit SI. Data terdiri dari
atribut-atribut yang berisi: kelengkapan, dapat dipercaya, bersih dan benar.
Jika integritas data tidak dipelihara, maka organisasi tidak akan mendapatkan
represntasi data yang benar untuk suatu aktifitas, akibatnya organisasi tidak
dapat berkompetisi.
C. Objek
Efektivitas Sistem (System Effectiveness Objectives)
Audit efektivitas sering dilakukan setelah sistem berjalan
untuk beberapa waktu. Manajemen membutuhkan hasil audit efektivitas untuk
mengambil keputusan apakah sistes terus dijalankan atau dihentikan sementara
untuk proses modifikasi.
D. Objek
Efisiensi Sistem (System Efficiency Objectives)
Efisiensi SI dilakukan dengan cara menggunakan sumber daya minimum untuk
menyelesaikan suatu tujuan objek. Variasi sumber daya terdiri dari mesin,
waktu, peripheral, S/W sistem dan pekerja. Tujuan dari perlindungan aset,
integritas data, efektivitas sistem dan efisiensi sistem dapat dicapat dengan
baik jika manajemen organisasi meningkatkan sistem pengendalian onternalnya.
3. METODE DAN ALAT TSI.
Seluruh audit menggunakan urutan kegiatan yang hampir sama, hingga dapat dibagi ke dalam empat langkah:
Seluruh audit menggunakan urutan kegiatan yang hampir sama, hingga dapat dibagi ke dalam empat langkah:
- Merencanakan audit
- Mengumpulkan bukti audit
- Mengevaluasi bukti audit
- Mengkomunikasikan hasil audit
Ketika
melaksanakan audit sistem informasi, para auditor harus memastikan
tujuan-tujuan berikut ini dipenuhi :
- Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
- Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
- Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
- Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
- Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
- File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
Menurut Weber (1999, p.55-57), metode
audit meliputi:
1.
Auditing around the computer
Merupakan
suatu pendekatan audit dengan memperlakukan komputer sebagai black box,
maksudnya metode ini tidak menguji langkah-langkah proses secara langsung,
tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer.
Kelemahan
dari pendekatan ini jika lingkungan berubah, maka kemungkinan sistem itu
berubah dan perlu penyesuaian sistem, sehingga auditor tidak dapat menilai
apakah sistem masih berjalan dengan baik.
Keunggulan
dari pendekatan ini adalah pelaksanaan audit lebih sederhana, dan bagi auditor
yang memiliki pengetahuan yang minim di bidang komputer dapat dilatih dengan
mudah untuk melaksanakan audit.
2.
Auditing through the computer
Merupakan
suatu pendekatan audit yang berorientasi pada komputer dengan membuka
black-box, dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer.
Keuntungan
utama dari pendekatan ini adalah dapat meningkatkan kekuatan terhadap pengujian
sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan pengujian
yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap kehandalan
dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan.
Kelemahan
pendekatan audit ini diantaranya biaya yang dibutuhkan relatif tinggi serta
membutuhkan keahlian dari sisi tehnik secara mendalam.
3.
Auditing with the computer
Merupakan
suatu pendekatan audit dengan menggunakan komputer sendiri (audit software)
untuk membantu melaksanakan langkah-langkah audit. Auditing sistem informasi
berdasarkan komputer terdiri dari penggunaan komputer itu sendiri, teknik
auditing dengan metode ini sangat berguna selama pengujian substantif atas file
dan record suatu perusahaan. Sebaliknya, teknik auditing melalui komputer
adalah teknik yang membantu dalam pengujian ketaatan.
4.
REGULASI
AUDIT TSI.
Regulasi mengenai audit TSI diatur dalam Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia, seperti contohnya :
Regulasi mengenai audit TSI diatur dalam Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia, seperti contohnya :
- Rancangan Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia Tentang Pedoman Umum Audit Sistem Elektronik Penyelenggara Pelayanan Publik
- Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia Tahun 2015 Tentang Pedoman Teknis Audit Manajemen Keamanan Sistem Elektronik Pada Penyelenggara Pelayanan Publik
5.
TAHAPAN AUDIT SISTEM INFORMASI
Tahapan audit menurut
Gallegos. Dalam bukunya, “Audit and Control of Information
System” yang mencakup beberapa aktivitas, yaitu :
1. Perencanaan
(Planning)
Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang
lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit
dan komunikasi dengan managen pada organisasi yang bersangkutan dengan
menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi,
kebijakan-kebijakan yang terkait dengan pengolahan investigasi. Perencanaan
meliputi beberapa aktivitas utama, yaitu:
· Penetapan
ruang lingkup dan tujuan audit
· Pengorganisasian
tim audit
· Pemahaman
mengenai operasi bisnis klien
· Kaji
ulang hasil audit sebelumnya
· Penyiapan
program audit
2. Pemeriksaan
Lapangan (Field Work)
Tahap ini yang akan dilakukan adalah pengumpulan informasi yang
dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal
ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu:
wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.
3. Pelaporan
(Reporting)
Setelah proses pengumpulan data, maka akan didapat data yang akan
diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini
yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit.
Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan
rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang
mencerminkan kinerja saat ini (current maturity level) dan kinerja standard
atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan
analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui
kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.
4. Tindak
Lanjut (Follow Up)
Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa
rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti,
untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek
yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan
dimasa yang akan datang. Menurut Weber (2001), tahapan-tahapan audit sistem
informasi terdiri dari:
a. Investigasi
dan Penyelidikan Awal
Merupakan tahapan pertama dalam audit bagi auditor eksternal yang
berarti menyelidiki dari awal atau melanjutkan yang ada unutk menentukan apakah
pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai melaukan
pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien
dan mengidentifikasi area resiko.
b. Pengujian
atas Control (Tests of Controls)
Tahap ini dimulai dengan pemfokusan pada pengendalian menegemen, apabila
hasil yang ada tidak sesuai dengan harapan, maka pengendalian manegemen tidak
berjalan sebagai mana mestinya. Apabila auditor menemukan kesalahan yang serius
pada pengendalian manegemen, maka mereka akan mengemukakan opini atau mengambil
keputusan dalam pengujian transaksi dan saldo untuk hasilnya.
c. Pengujian
atas Transaksi (Tests of Transaction)
Pengujian yang termasuk adalah pengecekan jurnal yang masuk dari dokumen
utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna
dalam pengujian ini dan auditor dapat mengunakan software audit yang umum untuk
mengecek apakah pembayaran bunya dari bank telak dikalkulasi secara tepat.
d. Pengujian
atas Keseimbangan atau Hasill Keseluruhan (Tests of Balances or Overall
Results)
Auditor melakukan pengujian
ini agar bukti penting dalam penilaian akhir kehilangan atau pencatatan yang
keliru yang menyebabkan fungsi sistem informasi gagal dalam memelihara data
secara keseluruhan dan mencapai sistem yang efekti dan efesien. Dengan kata
lain, dalam tahap ini mementingkan pengamatan asset dan integritas data yang
obyektif.
e. Penyelesaian
Audit (Completion of The Audit)
Tahap terakhir ini, auditor eksternal melakukan beberapa pengujian
tambahan untuk mengoleksi bukti untuk ditutup dengan memberikan pernyataan
pendapat.
4. STANDARD
AUDIT SISTEM INFORMASI
SASI IASII berlaku bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang
melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai berlaku efektif
sejak tanggal 01 Januari 2007, standard tersebut adalah sebagai berikut :
a) Penugasan
Audit
·
Tanggung jawab, wewenang,
dan akuntabilitas
Tanggung jawab, wewenang, dan akuntabilitas dari auditor sistem
informasi harus dinyatakan dengan jelas secara formal dan tertulis dalam piagam
atau surat tugas audit sistem informasi serta disetujui secara bersama oleh
auditor sistem informasi dan pemberi tugas.
b) Independensi
& Obyektifitas
·
Independensi
Dalam berbagai hal yang berkaitan dengan audit sistem informasi, auditor
sistem informasi harus menjaga independensinya, baik secara faktual maupun
penampilan, dari organisasi atau hal yang diaudit.
·
Obyektifitas
Selain itu, auditor sistem informasi harus menjaga obyektifitasnya dalam
merencanakan, melaksanakan dan melaporkan audit sistem informasi.
c) Profesionalisme
& Kompetensi
·
Profesionalisme
Auditor sistem informasi harus memenuhi berbagai standar audit yang
berlaku serta menerapkan kecermatan dan ketrampilan profesionalnya dalam
merencanakan, melaksanakan, dan melaporkan audit sistem informasi.
·
Kompetensi
Selain itu, auditor sistem informasi, secara kolektif, harus memiliki
atau memperoleh pengetahuan dan keahlian yang diperlukan untuk melaksanakan
audit sistem informasi.
·
Pendidikan Profesi
Berkelanjutan
Auditor sistem informasi harus meningkatkan pengetahuan dan keahlian
yang diperlukan untuk melaksanakan audit sistem informasi melalui pendidikan
profesi berkelanjutan.
d) Perencanaan
·
Perencanaan Audit
Auditor sistem informasi harus merencanakan audit sistem informasi dengan
baik agar dapat mencapai tujuan audit serta memenuhi standar audit yang
berlaku.
e) Pelaksanaan
·
Pengawasan
Staf audit sistem informasi harus disupervisi dengan baik untuk
memberikan keyakinan yang memadai bahwa tujuan audit sistem informasi dapat
tercapai dan standar audit yang berlaku dapat dipenuhi.
·
Bukti-bukti Audit
Dalam melaksanakan audit sistem informasi, auditor sistem informasi
harus memperoleh bukti-bukti audit yang cukup, dapat diandalkan dan bermanfaat
untuk mencapai tujuan audit sistem informasi secara efektif. Temuan dan
kesimpulan audit sistem informasi harus didukung oleh analisis dan interpretasi
yang memadai atas bukti-bukti audit tersebut.
·
§ Kertas Kerja
Audit
Dalam melaksanakan audit sistem informasi, auditor sistem informasi
harus mendokumentasikan secara sistematis seluruh bukti-bukti audit yang
diperoleh serta analisis yang dilakukannya.
f) Pelaporan
·
§ Laporan Audit
Setelah menyelesaikan pelaksanaan audit sistem informasi, auditor sistem
informasi harus memberikan suatu laporan audit sistem informasi dalam bentuk
yang memadai kepada pihak-pihak yang berhak menerima. Laporan audit sistem
informasi harus menyatakan lingkup, tujuan, sifat penugasan, temuan,
kesimpulan, rekomendasi, indentitas organisasi, penerima dan batasan distribusi
laporan, serta batasan atau pengecualian yang berkaitan dengan pelaksanaan
audit sistem informasi.
g) Tindak
Lanjut
·
§ Pemantauan
Tindak Lanjut
Auditor sistem informasi harus meminta dan mengevaluasi informasi yang
dipandang perlu sehubungan dengan temuan, kesimpulan dan rekomendasi audit yang
terkait dari audit sebelumnya untuk menentukan apakah tindak lanjut yang layak
telah dilaksanakan dengan tepat waktu.
6.
MANAJEMEN RESIKO
I. Pengertian
Manajemen Resiko
Manajemen risiko terdiri dari dua kata berbeda. Seperti yang kita tahu
manajemen secara umum berarti mengorganisir. Sedangkan dalam KBBI kata risiko
berarti : akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu
perbuatan atau tindakan. Dalam bisnis sendiri, risiko berkaitan dengan hasil
aktual yang tidak sesuai dengan hasil harapan. Jadi manajemen risiko adalah
proses identifikasi, analisis, penilaian, pengendalian, dan penghindaran, minimalisasi,
atau penghapusan risiko yang tidak dapat diterima.
II. Cara
Melakukan Manajemen Risiko dengan Efektif
Kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu:
–
Lingkungan internal (internal environment)
–
Penentuan sasaran (objective setting)
–
Identifikasi peristiwa (event identification)
–
Penilaian risiko (risk assessment)
–
Tanggapan risiko (risk response)
–
Aktivitas pengendalian (control activities)
–
Informasi dan komunikasi (information and communication)
–
Pemantauan (monitoring)
Tidak ada komentar:
Posting Komentar