Muammar
Gazali_16114851_4ka17
Audit
Sistem Informasi
Audit
Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk
membuktikan dan menentukan apakah sistem aplikasi komputerisasi yang digunakan
telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, apakah
aset organisasi sudah dilindungi dengan baik dan tidak disalah gunakan, apakah mampu menjaga integritas data, kehandalan
serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis
komputer.
Jenis-jenis
audit sistem informasi:
a) Audit laporan keuangan (financial
Statement Audit)
b) Audit Operasional (Operational
audit)
1) Audit terhadap aflikasi komputer
2) General audit
Yaitu evaluasi kinerja unit fungsional atau fungsi sistem
informasi apakah sudah dikelola dengan baik.
Tujuan
Audit Sistem Informasi
Tujuan Audit Sistem Informasi
menurut Ron Weber yaitu:
a) Meningkatkan keamanan aset-aset perusahaan.
b) Meningkatkan data dan menjaga integritasi data.
c) Meningkatkan efektifitas sistem
d) Meningkatkan efisiensi sistem
e) Ekonomis
Dua aspek utama tujuan audit sistem
informasi yaitu:
a) Conformance (Kesesuaian)
Yaitu audit sistem informasi difokuskan untuk memperoleh
kesimpulan atas aspek kesesuaian seperti kerahasiaan, Integritas, Ketersediaan,
Kepatuhan.
b) Performance (Kinerja)
Yaitu audit sistem informasi difokuskan untuk memperoleh
kesimpulan atas aspek kenerja seperti Efektifitas, Efisiensi, Kehandalan.
Tujuan
audit sistem informasi secara teknis yaitu:
a) Evaluasi atas kesesuaian antara rencana strategis dengan
rencana tahunan organisasi,rencana tahunan dan rencana proyek.
b) Evaluasi atas kelayakan struktur organisasi yaitu termasuk
pemisahan fungsi dan kelayakan pelimpahan wewennang dan otoritas.
c) Evaluasi atas pengelolahan personil yaitu termasuk
perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan,
promosi,mutasi, serta terminasi personil.
d) Evaluasi atas pengembangan yaitu termasuk analisis
kebutuhan, perancangan, pengembangan, pengujian, implementasi, migrasi,
pelatihan dan dokumentasi, serta manajemen perubahan.
e) Evaluasi atas kegiatan operasional yaitu termasuk
pengelolaan keamanan dan kenerja pengelolaan pusat data, pengelolaan keamanan
dan kenerja jaringan data, pengelolaan masalah dan insiden serta dukungan
pengguna.
f)
Evaluasi atas kontinuitas layanan
yaitu termasuk pengelolaan backup dan recovery, pengelolaan prosedure darurat,
pengelolaan rencana pemulihan layanan, serta pengujian rencana kontijensi
operasional.
g) Evaluasi atas kualitas pengendalian aplikasi yaitu termasuk
pengendalian input, pengendalian proses dan pengendalian output.
h) Evaluasi atas kualitas data/informasi yaitu termasuk pengujian atas kelengkapan dan akurasi data
yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.
Proses
Audit Sistem Informasi
Proses
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem
informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi
yaitu:
a) Implementasikan sebuah strategi audit berbasis manajemen
resiko serta control practice yang dapat disepakati oleh semua pihak
b) Tetapkan langkah-langkah audit yang rinci
c) Gunakan fakta atau bahan bukti yang cukup, handal, relevan,
serta bermanfaat
d) Buat laporan beserta kesimpulan berdasarkan fakta yang
dikumpulkan
e) Telaah apakah tujuan audit tercapai
f)
Sampaikan laporan kepada pihak yang
berkepentingan
g) Pastikan bahwa organisasi mengimplementasikan managemen
resiko serta control practice.
Perencanaan
sebelum menjalankan proses audit dengan metodologi audit yaitu:
a) Audit subject
b) Audit objective
c) Audit Scope
d) Preaudit planning
e) Audit procedures and Steps for data gathering
f)
Evaluasi hasil pengujian dan
pemeriksaan
g) Audit report preparation
Berikut struktur isi laporan audit secara umumnya(tidak
baku):
a) Pendahuluan
b) Kesimpulan umum auditor
c) Hasil audit
d) Rekomendasi
e) Exit interview
Audit Sistem Informasi Berbasis Resiko
Proses dalam pelaksanaan audit sistem informasi berbasis
resiko sesuai standar audit yaitu:
a) Tahap survey pendahuluan,auditor akan berusaha untuk
memperolehgambaran umum dari lingkunganyang akan diaudit.
b) Pemahaman yang lebih mendalam dari seluruh sumber daya yang
termasuk di dalam lingkup audit.
c) Pemahaman sistem pengendalian intern seperti struktus
organisasi, kebijakan, prosedur, standar, dan alat bantu kendali lainya.
d) Mengidentifikasi berbagai resiko yang mungkin timbul di
lingkungan audit serta kelayakan rancangan pengendalian intern yang telah ada.
e) Melakukan pengujian dan pelaksanaan kendali-kendali, jika
tidak layak maka auditor akan melakukan pengujian terinci secara mendalam
terhadap resiko.
f)
Menyusun laporan audit yang memuat
kesimpulan audit, serta tanggapan dari pihak yang diaudit atas rekomendasi yang
disampaikan oleh auditor dalam rangka peningkatan pengendalian intern.
Aspek-aspek
penilaian resiko dalam proses audit sistem informasi berbasis resiko yaitu:
a) Tujuan
Yaitu biasanya tercermin dalam misi atau nilai
entitas/terdapat dalam rencana perusahaan. Kategori tujuan yaitu:
1. Tujuan operasi
2. Tujuan pelaporan keuangan
3. Tujuan kepatuhan
b) Identifikasi dan analisa resiko
Yaitu mencakup resiko dalam pencapaian tujuan seperti:
1. Resiko tingkat entitas
2. Resiko tingkat aktifitas
3. Manajemen perubahan
Audit
Sistem Informasi Berbasis Kendali
Proses dalam pelaksanaan audit sistem informasi berbasis
kendali sesuai standar audit yaitu:
a) Mengumpulkan bukti-bukti yang memadai melalui berbagai
teknik seperti survei, interview, observasi, review.
b) Jika bukti –bukti berupa bukti elektronis (data bentuk file
suftcopy) maka auditor menerapkan sistem teknik audit berbantuan komputer yang
disebut CAAT(Computer Aided Auditing
Technique) yang bertujuan untuk menganalisa data seperti penjualan,
pembelian, transaksi, dan lain-lain)
c) Sesuai standar auditing ISACA (information System Audit And Control Association)Auditor juga
harus menyusun laporan yang mencakup tujuan pemeriksaansifat dan kedalaman
pemeriksaan.
d) Laporan juga harus menyebutkan organisasi yang diperiksa,
pihak pengguna laporan yang dituju, dan batasan-batasan distrubusi laporan.
e) Laporan juga harus memasukkan temuan,kesimpulan,
rekomendasi, sebagaimana layaknya laporan audit.
Audit
sistem informasi berbasis kendali merupakan
suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang
tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung),
innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai),
redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk
mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.
Berdasarkan
standar manajemen yang dikeluarkan oleh Internasional Standar Organization (ISO)
yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:
a) P (Poor) yaitu sistem mutu praktis belum terbentuk.
Disarankan untuk meninjau ulang keseluruhan proses.
b) W (Weak) yaitu masih banyak elemen sistem manajemen mutu
yang tidak sesuai standar.
c) F (Fair) yaitu beberapa elemen sistem telah sesuai standar
tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.
d) S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000
telah dapat dipenuhi oleh sistem.
Audit
Sistem Informasi Berbasis Komputer
Dengan dominannya
penggunaan komputer dalam membantu kegiatan operasional diberbagai
perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali
internal untuk menjamin bahwa data elektronik yang diproses adalah benar.
Beberapa jenis standar kontrol yaitu:
a) COSO (Comitte Of
Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun 1985 dengan tujuan untuk
menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar
pelaporan keuangan yang mengandung fraud (penggelapan).Tahun 1992, COSO
menyusun dan Menerbitkan Internal Control
Integrated Framework yang berisi rumusan definisi pengendalian intern,
pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun
2004, COSO mengembangkan Internal Control
Integrated Framework dengan menambah cakupan tentang manajemen dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).
Pencapaian
tujuan pengendalian intern yang didefenisikan COSO:
1. Efektifitas dan efisiensi aktivitas operasi
2. Kehandalan pelaporan keuangan
3. Ketaatan terhadap hukum dan peraturan yang berlaku
4. Pengamanan aset entitas.
b) COBIT (Control
Objectives for Information and Related Technology)
Yaitu alat pengendalian untuk informasi dan tekhnology
terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI
(Information and Technology Governance
Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan ,
melakukan riset dan mempublikasikan suatu standar teknologi informasi yang
diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.
c) SARBOX (Sarbanes-Oxley Act)
Yaitu merupakan peraturan yang ditandatangani Presiden
George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika
Serikat. Tujuan SARBOX yaitu:
1. Meningkatkan akuntabilitas manajemen dengan memastikan bahwa
manajemen akuntan dan pengacara memiliki tanggung jawab atas informasi keuangan
yang menjadi tanggung jawab mereka.
2. Meningkatkan pengungkapan dengan berusaha untuk menyatakan
bahwa beberapa kejadian kunci dan transaksi luar biasa tidak mendapatkan
pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.
3. Meningkatkan pengawasan rutin yang lebih intensif oleh SEC.
4. Meningkatkan akuntabilitas akuntan.
Yaitu standar untuk sistem manajemen keamanan informasi
meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi
tanggung-jawab,menyediakan semua para pemakai dengan pendidikan dan pelatihan
didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan
peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana
kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan,
surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan
menetapkan prosedure untuk mentaati kebijakan keamanan.
e) BASEL II
BASEL II dibentuk yaitu sebagai penerapan kerangka
pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank untuk memisahkan eksposurnya ke dalam kelas
yang lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).
Audit
system informasi banyak digunakan di perusaan asuransi seperti BANK
Gunanya
untuk:
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas sistem
4. Mencapai efisiensi sumberdaya.
Keempat tujuan tersebut dapat dijelaskan sebagai berikut :
1.
Mengamankan
aset, aset (activa) yang berhubungan dengan instalasi sistem
informasi mencakup: perangkat keras (hardware), perangkat
lunak (software), manusia (people), file data,
dokumentasi sistem, dan peralatan pendukung lainnya.
Sama halnya dengan aktiva – aktiva yang lain, maka aktiva ini
juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras
dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan
isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan
yang tidak diotorisasi.
2.
Menjaga
integritas data, integritas data
merupakan konsep dasar audit sistem informasi. Integritas data berarti data
memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian.
Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret
dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran
karena tidak didukung dengan data yang benar. Meskipun demikian, perlu juga
disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya.
Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan
ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat
yang diharapkan.
3.
Menjaga
efektivitas sistem, sistem informasi
dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk
menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna
sistem tersebut (user). Selanjutnya, untuk menilai
apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user
(misalnya pengambil keputusan), auditor perlu mengetahui karakteristik user
berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem
dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta
auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah
mencapai tujuan yang telah ditetapkan. Evaluasi ini akan memberikan masukan
bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus
ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus
ditinggalkan dan dicari penggantinya Audit
efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan
sistem (system design). Hal ini dapat terjadi jika desainer
sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit
mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek
dan besar biaya penerapannya, manajemen dapat mengambil sikap agar sistem
dievaluasi terlebih dahulu oleh pihak yang independen untuk mengetahui apakah
rancangan sistem sudah sesuai dengan kebutuhan user. Melihat kondisi seperti
ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan
berfokus pada kebutuhan dan kepentingan manajemen.
4.
Mencapai
efisiensi sumberdaya, suatu sistem sebagai
fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumberdaya
seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya,
sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala
perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang
mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat terbatas
adanya. Oleh karena itu, beberapa kandidat sistem (system alternatif)
harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.
0 komentar:
Posting Komentar