APA ITU AUDIT SISTEM
INFORMASI?
Audit merupakan sebuah kegiatan yang
melakukan pemeriksaan untuk menilai dan mengevaluasi sebuah aktivitas atau
objek seperti implementasi pengendalian internal pada sistem informasi
akuntansi yang pekerjaannya ditentukan oleh manajemen atau proses fungsi
akuntansi yang membutuhkan kemajuan. Proses auditing telah menjadi sangat rapi
di Amerika Serikat, khususnya pada bidang profesional accounting association.
Akan tetapi, baik profesi audit internal maupun eksternal harus secara terus
menerus bekerja keras untuk meningkatkan dan memperluas teknik, karena profesi
tersebut akan menjadi tidak mampu untuk mengatasi perkembangan dalam teknologi
informasi dan adanya tuntutan yang semakin meningkat oleh para pemakai
informasi.
Meskipun berbagai macam tipe audit
dilaksanakan, sebagian besar audit menekankan pada sistem infromasi akuntansi
dalam suatu organisasi dan pencatatan keuangan dan pelaksanaan operasi
organisasi yang efektif dan efisien.
Secara garis besar perlunya pelaksanaan
audit dalam sebuah perusahaan yang telah mempunyai keahlian dalam bidang
teknologi informasi yaitu antara lain: Kerugian akibat kehilangan data,
kerugian akibat kesalahan pemrosesan komputer, pengambilan keputusan yang salah
akibat informasi yang salah, kerugian karena penyalahgunaan komputer (Computer
Abused), Nilai hardware, software dan personil sistem informasi, dan terakhir
pemeliharaan kerahasiaan informasi.
Tujuan audit sistem
informasi dapat dikelompokkan ke dalam dua aspek utama, yaitu:
Conformance(Kesesuaian)- pada kelompok tujuan ini audit sistem informasi
difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu:
Confidentiality (kerahasiaan), Integrity (integritas), Availability
(ketersediaan), dan compliance (kepatuhan). Berikutnya adalah Performance(Kinerja)-
pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh
kesimpulan atas aspek kinerja, yaitu : effectiveness (efektifitas), efficiency
(efisiensi), reliability (kehandalan).
Terakhir, audit yang
dilaksanakan sesuai tipe perusahaan yaitu opersional, compliance, pengembangan
sistem, internal control, financial, dan kecurangan audit. Empat jenis auditor
yang dilibatkan dalam menyelenggarakan audit yang di list adalah:
Internal auditor adalah
karyawan perusahaan, yang pada umumnya melaksanakan compliance, operasional,
pengembangan sistem, pengawasan intern, dan kecurangan audit.
Eksternal auditor
adalah akuntan publik independen yang ditugaskan oleh perusahaan, secara khusus
melaksanakan audit keuangan. Dalam berbagai macam audit keuangan, eksternal
auditor dibantu oleh internal auditor. Akan tetapi, auditor eksternal yang
bertanggung jawan untuk menegaskan kewajaran laporan keuangan.
Government auditor
melaksanakan pemenuhan audit atau menguji laporan perusahaan atas pengawasana
yang menyangkut para pegawai pemerintahan. Sebagai contoh, pemeriksa bank
pemerintahan melaksanakan audit bank, auditor yang ditugaskan oleh auditor
negara yang umumnya melaksanakan audit daerah dan para pegawai pemerintah.
Fraud auditor,
mengkhususkan dalam menyelidiki kecurangan dan bekerja secara tertutup dengan
internal auditor dan pengacara. Fraud examminer misalnya : kesatuan FBI
penyelidikan kecurangan, perusahaan besar akuntan publik, IRS, dan perusahaan
asuransi.
Audit teknologi
informasi (Inggris: information technology (IT) audit atau information systems
(IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur
teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat
berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan
kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini
dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi
informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua
kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
þ Definisi
tata kelola TI
Merupakan suatu cabang
dari tata kelola perusahaan yang terfokus pada Sistem/Teknologi informasi serta
manajemen Kinerja dan risikonya. Tata kelola TI adalah struktur kebijakan atau
prosedur dan kumpulan proses yang bertujuan untuk memastikan kesesuaian
penerapan TI dengan dukungannya terhadap pencapaian tujuan institusi, dengan
cara mengoptimalkan keuntungan dan kesempatan yang ditawarkan TI, mengendalikan
penggunaan terhadap sumber daya TI dan mengelola risiko-risiko terkait TI
þ Tatakelola
teknologi informasi bukan bidang yang terpisah dari
pengelolaan perusahaan,
melainkan merupakan komponen pengelolaan perusahaan secara keseluruhan, dengan
tanggung jawab utama sebagai berikut:
1. Memastikan
kepentingan stakeholder diikutsertakan dalam penyusunan strategi perusahaan.
2. Memberikan arahan
kepada proses-proses yang menerapkan strategi perusahaan.
3. Memastikan
proses-proses tersebut menghasilkan keluaran yang terukur.
4. Memastikan adanya
informasi mengenai hasil yang diperoleh dan mengukurnya.
5. Memastikan keluaran
yang dihasilkan sesuai dengan yang diharapkan
þ Pentingnya
Tata Kelola TI
Di lingkungan yang
sudah memanfaatkan Teknologi Informasi (TI), tata kelola TI menjadi hal penting
yang harus diperhatikan. Hal ini dikarenakan ekspektasi dan realitas seringkali
tidak sesuai. Pihak shareholder perusahaan selalu berharap agar perusahaan
dapat :
1. Memberikan solusi TI
dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.
2. Menguasai dan
menggunakanTI untuk mendatangkan keuntungan.
3. Menerapkan TI untuk
meningkatkan efisiensi dan produktivitas sambil menangani risikoTI.
þ Pengabaian
Tata Kelola TI
Tata kelola TI yang
dilakukan secara tidak efektif akan menjadi awal terjadinya pengalaman buruk
yang dihadapi perusahaan, yang memicu munculnya fenomena investasi TI yang
tidak diharapkan, seperti:
1.Kerugian bisnis,
berkurangnya reputasi, dan melemahnya posisi kompetisi.
2.Tenggang waktu yang
terlampaui, biaya lebih tinggi dari yang di perkirakan, dan kualitas lebih
rendah dari yang telah diantisipasi.
3.Efisiensi dan proses
inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas
penggunaanTI.
4.Kegagalan dari
inisiatif TI untuk melahirkan inovasi atau
5 memberikan keuntungan
yang dijanjikan
Manfaat Tata kelola TI
1. Untuk mengatur
penggunaanTI,
2. Memastikan kinerja
TI sesuai dengan tujuan/fokus utama area tata kelolaTI
þ Strategic
Alignment
Memastikan adanya
hubungan perencanaan organisasi dan TI dengan cara:
Menetapkan,
Memelihara,
Menyesuaikan
operasional TI dengan operasional organisasi.
þ Value
Delivery
Fokus dengan
melaksanakan proses TI agar supaya proses tersebut sesuai dengan siklusnya,
mulai dari
1. menjalankan rencana,
2. memastikanTI dapat
memberikan manfaat yang diharapkan,
3. mengoptimalkan
penggunaan biaya sehingga pada akhirnya:
4. TI dapat mencapai
hasil yang diinginkan
þ Resource
Management
Fokus pada kegiatan
yang dapat mengoptimalkan dan mengelola sumber dayaTI, yang terdiri atas:
1. aplikasi,
2. informasi,
3. infrastruktur, dan
4. sumber daya manusia
þ Risk
management
Untuk melaksanakan
pengelolaan terhadap risiko, dibutuhkan kesadaran anggota organisasi dalam
memahami adanya risiko, kebutuhan organisasi, dan risiko–risiko signifikan yang
dapat terjadi, serta menanamkan tanggung jawab dalam mengelola risiko yang ada di
organisasi.
þ Performance
Measurement
Mengikuti dan mengawasi
jalannya
1. pelaksanaan rencana,
2. pelaksanaan proyek,
3. pemanfaaatan sumber
daya,
4. kinerja poses,
5. penyampaian layanan,
sampai dengan
6. pencapaian hasilTI
þ MODEL
TATAKELOLA TEKNOLOGI INFORMASI
1.
The IT Infrastructure Library (ITIL)
ITIL dikembangkan oleh
The Office of Government Commerce (OGC) suatu badan di bawah pemerintah Inggris,
dengan bekerja sama dengan The IT Service Management Forum (itSMF) dan British
Standard Institute (BSI). ITIL merupakan
suatu framework pengelolaan layananTI (IT Service Management – ITSM) yang sudah
diadopsi sebagai standar industri pengembangan industri perangkat lunak di
dunia.
ITSM memfokuskan diri
pada 3 (tiga) tujuan utama, yaitu:
1.
Menyelaraskan layananTI dengan kebutuhan sekarang dan akan datang dari bisnis
dan pelanggannya.
2.
Memperbaiki kualitas layanan-layanan TI.
3.
Mengurangi biaya jangka panjang dari pengelolaan layanan-layanan tersebut
Standar ITIL berfokus
kepada pelayanan customer, dan sama sekali tidak menyertakan proses
penyelarasan strategi perusahaan terhadap strategi TI yang dikembangkan.
2.
ISO/IEC 17799
ISO/IEC 17799
dikembangkan oleh The International Organization for Standardization (ISO) dan The
International Electrotechnical Commission (IEC) ISO/IEC 17799 bertujuan
memperkuat 3 (tiga) element dasar keamanan informasi, yaitu:
1. Confidentiality –
memastikan bahwa informasi hanya dapat diakses oleh yang berhak.
2.Integrity – menjaga
akurasi dan selesainya informasi dan metode pemrosesan.
3. Availability –
memastikan bahwa user yang terautorisasi mendapatkan akses kepada informasi dan
aset yang terhubung dengannya ketika memerlukannya
3.
COSO
COSO merupakan
kependekan dari Committee of Sponsoring Organization of the Treadway
Commission, sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan
kualitas pelaporan finansial mencakup etika bisnis, kontrol internal dan
corporate governance
COSO framework terdiri
dari 3 dimensi yaitu:
3. 1. Komponen kontrol
COSO
COSO mengidentifikasi 5
komponen kontrol yang diintegrasikan dan dijalankan dalam semua unit bisnis,
dan akan membantu mencapai sasaran kontrol internal:
a. Monitoring.
b. Information and
communications.
c. Control activities.
d. Risk assessment.
e. Control environment.
3.2. Sasaran kontrol
internal
Sasaran kontrol
internal dikategorikan menjadi beberapa area sebagai berikut:
a. Operations –
efisisensi dan efektivitas operasi dalam mencapai sasaran bisnis yang juga meliputi
tujuan kinerja dan keuntungan.
b. Financial reporting
– persiapan pelaporan anggaran finansial yang dapat dipercaya.
c. Compliance –
pemenuhan hukum dan aturan yang dapat dipercaya.
3.3. Unit/AktivitasTerhadap
Organisasi
Dimensi ini
mengidentifikasikan unit/aktifitas pada organisasi yang menghubungkan kontrol
internal. Kontrol internal menyangkut keseluruhan organisasi dan semua
bagian-bagiannya. Kontrol internal seharusnya diimplementasikan terhadap unit-unit
dan aktifitas organisasi.
4.
Control OBjectives for Information and related
Technology (COBIT) COBIT
Framework dikembangkan oleh IT Governance Institute, sebuah organisasi yang
melakukan studi tentang model pengelolaanTI yang berbasis di Amerika Serikat COBIT
Framework terdiri atas 4 domain utama:
1. Planning &
Organisation.
2. Acquisition &
Implementation.
3. Delivery &
Support.
4. Monitoring.
1. Planning &
Organisation.
Domain ini
menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan
strategi perusahaan.
2. Acquisition &
Implementation.
Domain ini
menitikberatkan pada proses pemilihan, pengadaaan dan penerapan teknologi
informasi yang digunakan.
3. Delivery &
Support.
Domain ini
menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.
4. Monitoring.
Domain ini
menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi.
COBIT mempunyai model
kematangan (maturity models), untuk mengontrol proses-proses TI dengan menggunakan
metode penilaian (scoring) sehingga suatu organisasi dapat menilai
proses-proses TI yang dimilikinya dari skala non-existent sampai dengan
optimised (dari 0 sampai 5). COBIT juga mempunyai ukuran-ukuran lainnya sebagai
berikut:
1. Critical Success
Factors (CSF) – mendefinisian
2. Key Goal Indicators
(KGI) – mendefinisikan
3. Key Performance
Indicators (KPI) – mendefinisikan
1. Critical Success
Factors (CSF) – mendefinisian hal-hal atau kegiatan penting yang dapat
digunakan manajemen untuk dapat mengontrol proses-prosesTI di organisasinya.
2. Key Goal Indicators
(KGI) – Mendefinisikan ukuran-ukuran yang akan memberikan gambaran kepada
manajemen apakah proses-proses TI yang ada telah memenuhi kebutuhan proses
bisnis yang ada. KGI biasanya berbentuk kriteria informasi:
a.
Ketersediaan informasi yang diperlukan dalam mendukung
kebutuhan
bisnis.
b.
Tidak adanya risiko integritas dan kerahasiaan data.
c.
Efisiensi biaya dari proses dan operasi yang dilakukan.
d.
Konfirmasi reliabilitas, efektivitas, dan compliance.
3. Key Performance
Indicators (KPI) – mendefinisikan ukuran-ukuran untuk menentukan kinerja
proses-proses TI dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI
biasanya berupa indikator kapabilitas, pelaksanaan, dan kemampuan sumber daya
TI.
Ruang Lingkup Audit SI
´ Audit
Data perusahaan
´ Data dapat menyebabkan kebutuhan
sumber daya menjadi kritis untuk keberlangsungan operasional organisasi (baik
untuk memberikan gambaran masa lalu,masa kini dan masa yang akan datang)
´ Jika data akurat, maka organisasi akan
mempunyai kemampuan untuk beradaptasi dan bertahan dalam lingkungan yang
berubah. Jika tidak (data hilang), maka organisasi akan mengalami kehilangan
data yang cukup penting.
´ Contoh
jika data master barang di suatu toko swalayan rusak, maka kasir tidak dapat
melakukan transaksi pembelian yang dilakukan oleh konsumen
´ Audit
Pengambilan keputusan
´ Untuk
membuat keputusan yang berkualitas dan dapat dipercaya, maka perlu di dukung
oleh data yang akurat melalui sistem informasi berbasis komputer
´ Termasuk
: deteksi, investigasi, dan koreksi proses yang diluar kontrol (connection of
out-of- control process)
´ Akibat
data yang salah akan mempunyai dampak terhadap minat investor terhadap
perusahaan. Contoh : jika penyediaan laporan keuangan salah (inaccurate
financial information), maka investor akan membatalkan atas keputusan
investasinya
´ Penting
juga diperhatikan tentang ‘aturan-aturan keputusan yang akurat(accurate
decision rules).
´ Contoh
jika aturan pengambilan keputusan (decision rule) dalam sistem pakar untuk
mendukung diagnosis, salah, mengakibatkan dokter akan salah dalam memberikan
keputusan / pemberian resep kepada pasiennya, ini akan berakibat fatal
´ Audit
Keamanan komputer
´ Sebagian
besar sebab yang mendorong pengembangan fungsi audit SI di perusahaan adalah
akibat seringnya terjadi penyalahgunaan komputer
´ Penyalahgunaan
komputer : “segala kejadian yang berhubungan dengan teknologi komputer yang
mengakibatkan kerugian pada korban atau mengakibatkan kehilangan yang
diakibatkan oleh pelaku kejahatan untuk mencari keuntungan”
Akibat Penyalahgunaan
Komputer
´ Perusakan
Aset
´ Pencurian
Aset
´ Modifikasi
Aset
´ Pelanggaran
Privasi
´ Pengacauan
Operasi
´ Penyalahgunaan
Otorisasi Aset
´ Kejahatan
Fisik terhadap Personal
SUMBER
:
0 komentar:
Posting Komentar