Audit Teknologi Sistem Informasi

BAB 1 
PENDAHULUAN

Latar Belakang
Teknologi Informasi menjadi suatu daya tarik masyarakat untuk kegunaan dan manfaatnya. Dalam konteks ini keberhasilan organisasi akan sangat dipengaruhi oleh kemampuan dalam memanpaatkan teknologi informasi secara optimal. Sukses auditor internal sangat tergantung kepada kemampuan menyumbang nilai terhadap organisasi melalui pemanfaatan tekhnologi informasi secara efektif.

Rumusan Masalah
Rumusan masalah dalam makalah sehingga pemakalah dapat menulis dan menyelesaikan makalah ini yaitu:
  1. Apa yang dimaksud dengan Audit Sistem Informasi?
  2. Apa tujuan dari Audit Sistem Informasi?
  3. Bagaimana konsep pelaksanaan audit sistem informasi baik itu dalam berbasis risiko, kendali dan komputer?
         Tujuan Makalah      
         Tujuan dari pembuatan makalah ini yaitu:
  1. Menyelesaikan tugas makalah Sistem Informasi
  2. Agar Mahasiswa  dapat  memahami  dan mengerti  apa yang dimaksud dengan audit sistem informasi.
  3. Agar Mahasiswa  dapat  memahami  dan mengerti  apa tujuan audit sistem informasi
  4. Agar Mahasiswa  dapat  memahami  dan mengerti bagaimana konteks pelaksanaan dari audit sistem informasi.         
Manfaat Penulisan
Penulisan makalah Sistem Informasi tentang Konsep audit sistem informasi ini manfaatnya yaitu agar kita dapat mengenal, memahami, mengerti materi tentang audit sistem informasi serta dapat menambah pengetahuan kita.         

         Sistematika Penulisan
Sistemetika penulisan ini adalah sebagai berikut :
BAB 1 PENDAHULUAN
Dalam bab ini penulis menjelaskan tentang latar belakang dalam penulisan, serta sistematika penulisan.
BAB 2 PEMBAHASAN
Dalam bab ini penulis mengemukakan tentang pengertian, jenis-jenis dan manfaat audit sistem informasi serta tentang terminologi IT forensics.
BAB 3 PENUTUP
Dalam bab ini penulis memberikan kesimpulan dan saran serta meminta suatu keritikan jika ada suatu kesalahan dalam penulisan.

  BAB 2
PEMBAHASAN


Pengertian Audit IT
Secara umum Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.

Jenis-Jenis Audit IT
1. Sistem dan aplikasi.
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
3. Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
4. Arsitektur perusahaan dan manajemen TI.

Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5. Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.

Tujuan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :
1.Kerugian akibat kehilangan data.
2.Kesalahan dalam pengambilan keputusan.
3.Resiko kebocoran data.
4.Penyalahgunaan komputer.
5.Kerugian akibat kesalahan proses perhitungan.
6.Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.

Manfaat Audit IT

  •  Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi        acceptance criteria.

2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.

  •  Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.

2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.

Terminologi IT Forensics

  • Bukti digital (digital evidence) adalah informasi yang didapat dalam bentuk atau format digital, contohnya e-mail.
  • Empat elemen kunci forensik dalam teknologi informasi, antara lain :
1.Identifikasi dari bukti digital.
Merupakan tahapan paling awal forensik dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan dan bagaimana penyimpanannya untuk mempermudah tahapan selanjutnya.
2.Penyimpanan bukti digital.

Termasuk tahapan yang paling kritis dalam forensik. Bukti digital dapat saja hilang karena penyimpanannya yang kurang baik.
3.Analisa bukti digital.
Pengambilan, pemrosesan, dan interpretasi dari bukti digital merupakan bagian penting dalam analisa bukti digital.
4.Presentasi bukti digital.
Proses persidangan dimana bukti digital akan diuji dengan kasus yang ada. Presentasi disini berupa penunjukkan bukti digital yang berhubungan dengan kasus yang disidangkan.


Proses Audit Sistem Informasi
Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:
  •       Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
  •        Tetapkan langkah-langkah audit yang rinci
  •        Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
  •        Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
  •        Apakah tujuan audit tercapai
  •        Sampaikan laporan kepada pihak yang berkepentingan
  •        Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.

Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:
  •          Audit subject
  •          Audit objective
  •          Audit Scope
  •          Preaudit planning
  •          Audit procedures and Steps for data gathering
  •          Evaluasi hasil pengujian dan pemeriksaan
  •          Audit report preparation

Berikut struktur isi laporan audit secara umumnya(tidak baku):
  •          Pendahuluan
  •          Kesimpulan umum auditor
  •          Hasil audit
  •          Rekomendasi
  •          Exit interview

 Audit Sistem Informasi Berbasis Resiko
Proses dalam pelaksanaan audit sistem informasi berbasis resiko sesuai standar audit yaitu:
  •      Tahap survey pendahuluan, auditor akan berusaha untuk memperoleh gambaran umum dari lingkunganyang akan diaudit.
  •       Pemahaman yang lebih mendalam dari seluruh sumber daya yang termasuk di dalam lingkup audit.
  •        Pemahaman sistem pengendalian intern seperti struktus organisasi, kebijakan, prosedur, standar, dan alat bantu kendali lainya.
  •     Mengidentifikasi berbagai resiko yang mungkin timbul di lingkungan audit serta kelayakan rancangan pengendalian intern yang telah ada.
  •     Melakukan pengujian dan pelaksanaan kendali-kendali, jika tidak layak maka auditor akan melakukan pengujian terinci secara mendalam terhadap resiko.
  •        Menyusun laporan audit yang memuat kesimpulan audit, serta tanggapan dari pihak yang diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan pengendalian intern.

 Audit Sistem Informasi Berbasis Kendali
Proses dalam pelaksanaan audit sistem informasi berbasis kendali sesuai standar audit yaitu:
  •      Mengumpulkan bukti-bukti yang memadai melalui berbagai teknik seperti survei, interview, observasi, review.
  •       Jika bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka auditor menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer Aided Auditing Technique) yang bertujuan untuk menganalisa data seperti penjualan, pembelian, transaksi, dan lain-lain)
  •       Sesuai standar auditing ISACA (information System Audit And Control Association)Auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaansifat dan kedalaman pemeriksaan.
  •       Laporan juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju, dan batasan-batasan distrubusi laporan.
  •     Laporan juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana layaknya laporan audit.
  •       Audit sistem informasi berbasis kendali merupakan  suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), inacurrate(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event. Tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.

Audit Sistem Informasi Berbasis Komputer
Dengan dominannya  penggunaan komputer dalam membantu kegiatan operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol yaitu:
A)    COSO (Comitte Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan). Tahun 1992, COSO menyusun dan Menerbitkan Internal Control Integrated Framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal Control Integrated Framework dengan menambah cakupan tentang manajemen  dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).
Pencapaian tujuan pengendalian intern yang didefenisikan COSO:
  •          Efektifitas dan efisiensi aktivitas operasi
  •          Kehandalan pelaporan keuangan
  •          Ketaatan terhadap hukum dan peraturan yang berlaku
  •          Pengamanan aset entitas.

B)    COBIT (Control Objectives for Information and Related Technology)
Yaitu alat pengendalian untuk informasi dan tekhnology terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI (Information and Technology Governance Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.
C)    SARBOX (Sarbanes-Oxley Act)
Yaitu merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu, meningkatkan akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.
D)    ISO 17799
Yaitu standar untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan keamanan.
E)    BASEL II
BASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank untuk memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).

BAB 3
PENUTUP

Kesimpulan
Dari penulisan makalah ini dapat disimpulkan bahwa Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk membuktikan dan menentukan apakah sistem aplikasi komputerisasi yang digunakan telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, apakah aset organisasi sudah dilindungi dengan baik dan tidak disalah gunakan, apakah  mampu menjaga integritas data, kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer. Konteks dalam proses audit sistem informasi ini terbagi menjadi 3 yaitu audit sistem informasi berbasis risiko, audit sistem informasi berbasis kendali, audit sistem informasi berbasis komputer.

Kritik dan Saran
Penulis hanya bisa memberi saran kepada pembaca bahwasahnya konsep audit sistem informasi yaitu terdiri dari tujuan audit sampai dengan proses audit sistem informasi itu sendiri baik itu berbasis risiko, berbasis kendali serta berbasis komputer.
Di dalam makalah ini mungkin masih banyak suatu kekurangan dan kesalahan oleh karena itu penulispun meminta agar kiranya pembaca juga memberikan kritikan dan sarannya agar kiranya makalah ini bisa menjadi lebih sempurna lagi.

Daftar Pustaka:

Komentar

Postingan Populer