Audit Teknologi Sistem Informasi
BAB 1
PENDAHULUAN
Latar Belakang
Teknologi Informasi menjadi suatu daya
tarik masyarakat untuk kegunaan dan manfaatnya. Dalam konteks ini keberhasilan organisasi akan sangat dipengaruhi oleh
kemampuan dalam memanpaatkan teknologi informasi secara optimal. Sukses auditor
internal sangat tergantung kepada kemampuan menyumbang nilai terhadap
organisasi melalui pemanfaatan tekhnologi informasi secara efektif.
Rumusan Masalah
Rumusan masalah dalam
makalah sehingga pemakalah dapat menulis dan menyelesaikan makalah ini yaitu:
- Apa yang dimaksud dengan Audit Sistem Informasi?
- Apa tujuan dari Audit Sistem Informasi?
- Bagaimana konsep pelaksanaan audit sistem
informasi baik itu dalam berbasis risiko, kendali dan komputer?
Tujuan
Makalah
Tujuan dari pembuatan makalah ini yaitu:
- Menyelesaikan
tugas makalah Sistem Informasi
- Agar Mahasiswa dapat memahami dan
mengerti apa yang dimaksud dengan audit sistem informasi.
- Agar
Mahasiswa dapat memahami dan
mengerti apa tujuan audit sistem informasi
- Agar
Mahasiswa dapat memahami dan mengerti
bagaimana konteks pelaksanaan dari audit sistem informasi.
Manfaat Penulisan
Penulisan makalah Sistem Informasi tentang Konsep
audit sistem informasi ini manfaatnya yaitu agar kita dapat mengenal, memahami,
mengerti materi tentang audit sistem informasi serta dapat menambah pengetahuan
kita.
Sistematika Penulisan
Sistemetika penulisan ini adalah sebagai berikut :
BAB 1 PENDAHULUAN
Dalam bab ini penulis
menjelaskan tentang latar belakang dalam penulisan, serta sistematika
penulisan.
BAB 2 PEMBAHASAN
Dalam bab ini penulis mengemukakan tentang pengertian,
jenis-jenis dan manfaat audit sistem informasi serta tentang terminologi IT
forensics.
BAB 3 PENUTUP
Dalam bab ini penulis memberikan kesimpulan dan saran
serta meminta suatu keritikan jika ada suatu kesalahan dalam penulisan.
BAB 2
PEMBAHASAN
Pengertian Audit IT
Secara umum Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.
Secara umum Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.
Jenis-Jenis Audit IT
1. Sistem dan aplikasi.
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan
kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk
menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses,
output pada semua tingkat kegiatan sistem.
2. Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali
untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang
efisien dalam keadaan normal dan buruk.
3. Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup
kebutuhan obyektif organisasi.
4. Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan
struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang
berdaya guna untuk pemrosesan informasi.
5. Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi
pada client, server, dan jaringan yang menghubungkan client dan server.
Tujuan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah
satu bukunya Information System Controls and Audit (Prentice-Hall, 2000)
menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara
lain :
1.Kerugian akibat kehilangan data.
2.Kesalahan dalam pengambilan keputusan.
3.Resiko kebocoran data.
4.Penyalahgunaan komputer.
5.Kerugian akibat kesalahan proses perhitungan.
6.Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Manfaat Audit IT
- Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah
dibuat sesuai dengan kebutuhan ataupun memenuhi
acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
- Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang
masih yang masih ada dan saran untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem,
perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan
kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan
dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang
melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi
dan saran tindak lanjutnya.
Terminologi IT Forensics
- Bukti digital (digital evidence) adalah informasi yang didapat dalam
bentuk atau format digital, contohnya e-mail.
- Empat elemen kunci forensik dalam teknologi informasi, antara lain :
1.Identifikasi
dari bukti digital.
Merupakan tahapan paling awal forensik dalam teknologi
informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada,
dimana bukti itu disimpan dan bagaimana penyimpanannya untuk mempermudah
tahapan selanjutnya.
2.Penyimpanan
bukti digital.
Termasuk tahapan yang paling kritis dalam forensik.
Bukti digital dapat saja hilang karena penyimpanannya yang kurang baik.
3.Analisa bukti digital.
Pengambilan, pemrosesan, dan interpretasi dari bukti digital merupakan
bagian penting dalam analisa bukti digital.
4.Presentasi bukti digital.
Proses persidangan dimana bukti digital akan diuji dengan kasus yang ada.
Presentasi disini berupa penunjukkan bukti digital yang berhubungan dengan
kasus yang disidangkan.
Proses Audit Sistem
Informasi
Proses Audit dalam
konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan
semestinya. Tujuh langkah proses audit sistem informasi yaitu:
- Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
- Tetapkan langkah-langkah audit yang rinci
- Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
- Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
- Apakah tujuan audit tercapai
- Sampaikan laporan kepada pihak yang berkepentingan
- Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.
Perencanaan sebelum
menjalankan proses audit dengan metodologi audit yaitu:
- Audit subject
- Audit objective
- Audit Scope
- Preaudit planning
- Audit procedures and Steps for data gathering
- Evaluasi hasil pengujian dan pemeriksaan
- Audit report preparation
Berikut struktur isi
laporan audit secara umumnya(tidak baku):
- Pendahuluan
- Kesimpulan umum auditor
- Hasil audit
- Rekomendasi
- Exit interview
Proses dalam
pelaksanaan audit sistem informasi berbasis resiko sesuai standar audit yaitu:
- Tahap survey pendahuluan, auditor akan berusaha untuk memperoleh gambaran umum dari lingkunganyang akan diaudit.
- Pemahaman yang lebih mendalam dari seluruh sumber daya yang termasuk di dalam lingkup audit.
- Pemahaman sistem pengendalian intern seperti struktus organisasi, kebijakan, prosedur, standar, dan alat bantu kendali lainya.
- Mengidentifikasi berbagai resiko yang mungkin timbul di lingkungan audit serta kelayakan rancangan pengendalian intern yang telah ada.
- Melakukan pengujian dan pelaksanaan kendali-kendali, jika tidak layak maka auditor akan melakukan pengujian terinci secara mendalam terhadap resiko.
- Menyusun laporan audit yang memuat kesimpulan audit, serta tanggapan dari pihak yang diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan pengendalian intern.
Proses dalam
pelaksanaan audit sistem informasi berbasis kendali sesuai standar audit yaitu:
- Mengumpulkan bukti-bukti yang memadai melalui berbagai teknik seperti survei, interview, observasi, review.
- Jika bukti –bukti berupa bukti elektronis (data bentuk file suftcopy) maka auditor menerapkan sistem teknik audit berbantuan komputer yang disebut CAAT(Computer Aided Auditing Technique) yang bertujuan untuk menganalisa data seperti penjualan, pembelian, transaksi, dan lain-lain)
- Sesuai standar auditing ISACA (information System Audit And Control Association)Auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaansifat dan kedalaman pemeriksaan.
- Laporan juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju, dan batasan-batasan distrubusi laporan.
- Laporan juga harus memasukkan temuan,kesimpulan, rekomendasi, sebagaimana layaknya laporan audit.
- Audit sistem informasi berbasis kendali merupakan suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), inacurrate(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event. Tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.
Audit Sistem Informasi
Berbasis Komputer
Dengan
dominannya penggunaan komputer dalam membantu kegiatan operasional
diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat
pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah
benar. Beberapa jenis standar kontrol yaitu:
A) COSO (Comitte
Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada
tahun 1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis
berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan). Tahun 1992, COSO
menyusun dan Menerbitkan Internal Control Integrated Framework yang
berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan
terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal
Control Integrated Framework dengan menambah cakupan tentang
manajemen dan strategi resiko yang disebut ERM (Enterprise
Risk Manajement).
Pencapaian tujuan
pengendalian intern yang didefenisikan COSO:
- Efektifitas dan efisiensi aktivitas operasi
- Kehandalan pelaporan keuangan
- Ketaatan terhadap hukum dan peraturan yang berlaku
- Pengamanan aset entitas.
B) COBIT (Control
Objectives for Information and Related Technology)
Yaitu alat pengendalian
untuk informasi dan tekhnology terkait dan merupakan standar terbuka yang
dikembangkan oleh ISACA melalui ITGI (Information and Technology
Governance Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk
mengembangkan , melakukan riset dan mempublikasikan suatu standar teknologi
informasi yang diterima umum dan selalu up to date untuk digunakan dalam
kegiatan bisnis sehari-hari.
C) SARBOX (Sarbanes-Oxley
Act)
Yaitu merupakan
peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk
mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu, meningkatkan
akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara
memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab
mereka.
D) ISO 17799
Yaitu standar untuk
sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan
informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para
pemakai dengan pendidikan dan pelatihan didalam keamanan informasi,
mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan
virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan
pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris,
mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati
kebijakan keamanan.
E) BASEL II
BASEL II dibentuk yaitu
sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini
mensyaratkan Bank-bank untuk memisahkan eksposurnya ke dalam kelas yang
lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).
BAB 3
PENUTUP
Kesimpulan
Dari penulisan makalah
ini dapat disimpulkan bahwa Audit Sistem Informasi adalah proses pengumpulan
dan pengevaluasian bukti-bukti untuk membuktikan dan menentukan apakah sistem
aplikasi komputerisasi yang digunakan telah menetapkan dan menerapkan sistem pengendalian
intern yang memadai, apakah aset organisasi sudah dilindungi dengan baik dan
tidak disalah gunakan, apakah mampu menjaga integritas data,
kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi
berbasis komputer. Konteks dalam proses
audit sistem informasi ini terbagi menjadi 3 yaitu audit sistem informasi
berbasis risiko, audit sistem informasi berbasis kendali, audit sistem
informasi berbasis komputer.
Kritik dan Saran
Penulis hanya bisa
memberi saran kepada pembaca bahwasahnya konsep audit sistem informasi yaitu
terdiri dari tujuan audit sampai dengan proses audit sistem informasi itu
sendiri baik itu berbasis risiko, berbasis kendali serta berbasis komputer.
Di
dalam makalah ini mungkin masih banyak suatu kekurangan dan kesalahan oleh
karena itu penulispun meminta agar kiranya pembaca juga memberikan kritikan dan
sarannya agar kiranya makalah ini bisa menjadi lebih sempurna lagi.
Daftar Pustaka:
Komentar
Posting Komentar