Skip to main content

AUDIT TEKNOLOGI SISTEM INFORMASI



Latar Belakang Audit


Teknologi informasi merupakan bentuk pengawasan dan pengendalian infrastruktur teknologi informasi secara menyeluruh dengan tujuan untuk mengevaluasi sistem pengendalian internal pada sistem desain dan efektifitas. Besarnya resikoatas implementasi teknologi informasi mendorong pentingnya dilakukan audit teknologi informasi..Untuk melakukan audit teknologi informasi, sebenarnya tersedia beberapa perangkat(tools) maupun acuan yang dapat dijadikan referensi dalam melakukan audit. CobiT – Control Objectives for Information and Related Technology ( ISACA and ITGI, 1992) merupakan sebuah framework atau best practice untuk manajemen IT yang menyediakan pengukuran secara umum (generally accepted measures ), indikator (indicators), proses (process) dan pengendalian (control) kepada manajer IT, auditor dan pengguna IT untuk dapat memberikan manfaat yang maksimal dalam hal pengembangan dan implementasi IT khususnya IT untuk pemerintahan (IT Governance). ISO/IEC (International Standard Organisation / International Electrotechnical Commission) juga menerbitkan sebuah acuan standar keamanan informasi yang diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam organisasi.


Walaupun acuan referensi untuk audit TI banyak tersedia, tetapi masih cukup sulit bagi seorang auditor terutama bagi pemula untuk menyusun suatu program audit karena memang tidak ada standar yang pasti dalam pelaksanaan audit teknologi informasi. Permasalahan inilah yang menjadi perhatian yang kemudian diangkat dalam penelitian ini. Dengan mekanisme kerangka kerja yang dihasilkan dari penelitian ini diharapkan perencanaan dan pelaksanaan audit dapat menjadi lebih mudah. Tujuan dari penelitian ini adalah membuat desain awal (prototype) sistem manajemen pengetahuan yang sesuai untuk mendukung kegiatan audit teknologi informasi serta mengetahui pengaruh sistem manajemen pengetahuan terhadap pengelolaan pengetahuan organisasi dengan studi kasus pada Badan Pemeriksa Keuangan (BPK) khususnya pada Biro Teknologi Informasi yang terkait langsung dengan pelaksanaan kegiatan audit teknologi informasi.


Penelitian ini diawali dengan studi tentang permasalahan yang dihadapi oleh auditor dalam melakukan perencanaan audit teknologi informasi, mengidenti fikasi pengetahuan


pengetahuan yang dibutuhkan, kemudian dilakukan analisa untuk membuat kerangka kerja mekanisme perencanaan audit dalam suatu sistem sehingga pengetahuan dalam bentuk pengalaman pelaksanaan audit akan terekam membentuk repositori data yang mendukung


manajemen pengetahuan Audit teknologi informasi merupakan proses pengumpulan dan evaluasi bukti – bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif serta dapat menggunakan sumber daya yang dimilik secara efisien (Weber,2000). Hal yang melatarbelakangi pentingnya dilakukan audit teknologi informasi adalah adanya resiko - resiko yang menyertai penerapan dan penggunaan teknologi informasi.














1. Konsep


Merupakan suatu proses pengumpulan dan pengevaluasian bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten untuk mengetahui apakah suatu sistem informasi dan sumber daya terkait, secara memadai telah dapat digunakan untuk:


• Melindungi atas aktiva,• Menjaga integritas dan ketersediaan sistem dan data,• Menyediakan informasi yang relevan dan handal,• Mencapai tujuan organisasi dengan efektif,• Menggunakan sumber daya dengan efisien


Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama, yaitu:


Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).


Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).










2. Proses Audit


Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:1. Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak2. Tetapkan langkah-langkah audit yang rinci3. Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat4. Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan5. Telah apakah tujuan audit tercapai6. Sampaikan laporan kepada pihak yang berkepentingan7. Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.


Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:1. Audit subject2. Audit objective3. Audit Scope4. Preaudit planning5. Audit procedures and Steps for data gathering6. Evaluasi hasil pengujian dan pemeriksaan7. Audit report preparation


Berikut struktur isi laporan audit secara umumnya(tidak baku):a) Pendahuluanb) Kesimpulan umum auditorc) Hasil auditd) Rekomendasie) Exit interview


3. Teknik Audit


Menurut Davis, Schiller dan Wheeler (2011) tahap melakukan audit TI adalah :• Tinjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi TI menyediakan untuk tugas wewenang dan tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.• Meninjau proses perencanaan strategis TI untuk memastikan bahwa itu sejalan dengan strategis bisnis. Mengevaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.• Menentukan apakah teknologi dan aplikasi strategi dan roadmap ada, dan mengevaluasi proses perencanaan teknis jangka panjang.• Tinjau indikator kinerja dan pengukuran untuk IT. Memastikan bahwa proses dan metrik pada tempatnya ( dan disetujui oleh para pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan pelacakan kinerja terhadap SLA, anggaran, dan persyaratan operasional lainnya.• Emenentukzvaluasi standar untuk mengatur pelaksanaan proyek IT dan untuk memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI. pMenentukan bagaimana standar tersebut dikomunikasikan dan ditegakkan.• Pastikan bahwa kebijakan keamanan TI ada dan memberikan persyaratan yang memadai untuk keamanan lingkungan. tentukan bagaimana kebijakan tersebut dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.• Meninjau dan mengevaluasi proses penilaian risiko di tempat bagi organisasi TI.• Tinjau dan evaluasi proses untuk memastikan bahwa karyawan IT di perusahaan memiliki keterampilan dan pengetaguan yang diperlukan untuk melakukan pekerjaan mereka.• Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengelompokkan data, melindungi data sesuai dengan klarifikasinya, dan mendefinisikan life cycle data.• Tinjau dan evaluasi proses untuk memastikan bahwa end user lingkungan TI memiliki kemampuan untuk melaporkan masalah, secara tepat terlibat dalam keputusan TI, dan puas dengan layanan yang diberikan oleh TI.• Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan dengan jelas dan pemantauan kinerja mereka.• Meninjau dan mengevaluasi proses proses untuk mengontrol akses login non karyawan.• Meninjau dan mengevaluasi proses untuk memastikan bahwa perusahaan telah memenuhi lisensi perangka lunak yang berlaku.


4.Regulasi Audit


Dengan dominannya penggunaan komputer dalam membantu kegiatan operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol yaitu:1. COSO (Comitte Of Sponsoring Organizationof the treadway commission’s)Yaitu dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan).Tahun 1992, COSO menyusun dan Menerbitkan Internal Control Integrated Framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal Control Integrated Framework dengan menambah cakupan tentang manajemen dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).


Pencapaian tujuan pengendalian intern yang didefenisikan COSO:a. Efektifitas dan efisiensi aktivitas operasib. Kehandalan pelaporan keuanganc. Ketaatan terhadap hukum dan peraturan yang berlakud. Pengamanan aset entitas.


2. COBIT (Control Objectives for Information and Related Technology)Yaitu alat pengendalian untuk informasi dan tekhnology terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI (Information and Technology Governance Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.


3. SARBOX (Sarbanes-Oxley Act)Yaitu merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:a. Meningkatkan akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.b. Meningkatkan pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.c. Meningkatkan pengawasan rutin yang lebih intensif oleh SEC.d. Meningkatkan akuntabilitas akuntan.


4. ISO 17799Yaitu standar untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan keamanan.


5. BASEL IIBASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank untuk memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).


Regulasi Audit


Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :


1) Tahapan Pengidentifikasian


Objek yang Diaudit Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.






2) Tahapan Evaluasi audit Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.






5.Standar dan Kerangka Kerja Audit


Seiring teknologi informasi standar (I) jatuh tempo pada akhir abad ke-20, departemen TI di dalam setiap organisasi biasanya mengembangkan metode sendiri untuk mengelola operasi. Akhirnya, kerangka kerja dan standar muncul untuk memberikan panduan bagi manajemen dan evaluasi proses TI. Dalam bab ini kita akan melihat beberapa kerangka kerja dan standar paling menonjol saat ini yang berkaitan dengan penggunaan teknologi. Pembahasan kami akan mencakup hal-hal berikut:


· Pengantar pengendalian internal, kerangka kerja, dan standar


· Komite Kompensasi Organisasi Cadangan (COSO)


· Tujuan Pengendalian untuk Informasi dan Teknologi Terkait (COBIT)


· IT Infrastructure Library (ITIL)


· ISO 27001


· Metodologi Penilaian Badan Keamanan Nasional (NSA)


· Gaya Standar dan Kerangka Kerja Audit


Pengantar Kontrol, Kerangka, dan Standar TI Internal


Pada 1970-an, kekhawatiran akan meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan permintaan akan pertanggungjawaban dan transparansi di antara perusahaan publik. Foreign Cornupt Practices Act of 1977 (FCPA) mengkriminalisasi penyuapan di luar negeri dan merupakan peraturan pertama yang mengharuskan perusahaan untuk menerapkan program pengendalian internal untuk menyimpan catatan transaksi yang ekstensif untuk tujuan pengungkapan.


Ketika industri simpan pinjam ambruk pada pertengahan tahun 1980an, ada seruan untuk mengawasi standar akuntansi dan profesi auditing pemerintah. Dalam upaya untuk mencegah intervensi pemerintah, inisiatif sektor swasta independen, yang kemudian disebut Komite Sponsoring Organizations (COSO), dimulai pada tahun 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO meresmikan konsep pengendalian internal dan kerangka kerja pada tahun 1992 saat menerbitkan publikasi penting Kerangka Pengendalian Internal.


Sejak saat itu, asosiasi profesional lainnya terus mengembangkan kerangka kerja dan standar tambahan untuk memberikan panduan dan praktik terbaik kepada konstituen mereka dan komunitas TI secara umum. Bagian berikut menyoroti COSO dan beberapa kerangka kerja dan standar TI paling menonjol yang digunakan saat ini.


Gaya standard dan Kerangka Kerja


Persyaratan dan praktik bisnis sangat bervariasi di seluruh dunia, seperti juga kepentingan politik dari banyak organisasi yang menciptakan standar. Kemungkinan besar kerangka kerja dan standar tunggal akan muncul dalam waktu dekat untuk memenuhi kebutuhan setiap orang. Kompleksitas pemetaan ratusan dokumen otoritas dari peraturan (internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar (ISO, industri spesifik, vendor, dan sebagainya) menciptakan peluang dan ceruk pasar. Vendor teknologi dengan tepat mengidentifikasi ceruk pasar yang penting ini, atau pembeda, untuk meningkatkan penjualan produk dengan mengidentifikasi bagaimana cara mendapatkan produk mereka untuk memenuhi persyaratan otoritas. Vendor melompat pada kesempatan untuk memetakan kemampuan mereka untuk menangani kontrol spesifik dari beberapa peraturan dan standar.


Jaringan Frontiers mungkin adalah perusahaan yang paling terkenal yang mencoba hal yang tidak mungkin: membuat pemetaan umum kontrol TI di setiap peraturan, standar, dan praktik terbaik yang ada. Hasilnya disebut IT Unified Compliance Kerangka, dan bisa ditemukan di www.unifiedcompliance.com. Selanjutnya, ini pemetaan diadopsi oleh Archer Technologies, Microsoft, Computer Associates, McAfee, dan beberapa vendor lainnya untuk membantu menjembatani penyelarasan kontrol yang dikelola atau dilacak oleh vendor dengan persyaratan dokumen otoritas individual.


Satu sudut pandang menunjukkan kerangka adopsi tunggal akan menyederhanakan teknologi pengembangan produk, struktur organisasi, dan tujuan pengendalian. Yang lain sudut pandang menunjukkan bahwa kompleksitas kepentingan regional, politik, bisnis, budaya, dan kepentingan yang berbeda memastikan kerangka kontrol yang diterima secara universal tidak akan pernah tercipta. Kebenaran mungkin terletak di suatu tempat di tengahnya. Meskipun satu set standar internasional tidak dapat dipastikan, alat yang dijelaskan dalam bab ini tetap berfungsi untuk menciptakan infrastruktur teknologi yang andal, aman, dan berkelanjutan yang pada akhirnya menguntungkan para peserta.


6. Manajemen Resiko


Manajemen risiko adalah sebuah proses yang diaplikasikan dalam perumusan strategi dan dirancang untuk mengidentifikasi kejadian potensial yang mungkin akan berdampak pada keseluruhan organisasi, dan pengelolaan risiko. Kategori sasaran dalam manajemen risiko :


· Strategis : tujuan tingkat tinggi, selaras dengan dan mendukung misi


· Operasional : penggunaan sumberdaya secara efektif dan efisien


· Pelaporan : keandalan pelaporan


· Pemenuhan : pemenuhan hukum dan peraturan yang berlaku






DAFTAR PUSTAKA


Audit & Kontrol Teknologi Informasi, Mardhani Riasetiawan, 2016
IT Auditing : Using Controls To Protect Information Assets, Chris Davis, 2011
http://miftahudinandria.blogspot.com/2017/10/audit-teknologi-sistem informasi.html?m=1
https://auditkelapasawit.blogspot.com/2017/01/prosedur-teknik-dan-bukti-audit.html


Comments

Post a Comment

Popular posts from this blog

Bahasa Inggris Bisnis 2 (Softskill) {pert 5-8}

5.Verb as Complement Pengertian Complement: Complement adalah kata atau kelompok kata yang melengkapi makna dari subject, verb, atau object. Dengan demikian, ada tiga macam complement, yaitu: subject, verb, dan object complement. Subject Complement Pengertian Subject Complement Subject complement adalah noun, pronoun, adjective, atau konstruksi lain (berperan sebagai noun atau adjective) yang mengikuti verbs of being atau linking verb serta berfungsi menerangkan atau merujuk subjek kalimat. Subject complement terbagi menjadi tiga yaitu: predicate adjective (subjek dihubungkan dengan adjective) predicate noun (subjek dihubungkan dengan noun) predicate pronoun (subjek dihubungkan dengan pronoun). Keterangan: Subject complement = bold . linking verb = italic. Contoh Kalimat Subject Complement: Mrs.Diana was a great headmaster Headmaster =menerangkan subjek (Mrs.Diana) A great = modifier yang menerangkan headmaster A great headmaster = noun phrase That lad...
Post a Comment
Read more

service Strategi dan Service Design

SERVICE STRATEGY        Service Strategy Inti dari ITIL Service Lifecycle adalah Service Strategy. Service Strategy memberikan panduan kepada pengimplementasi ITSM pada bagaimana memandang konsep ITSM bukan hanya sebagai sebuah kemampuan organisasi (dalam memberikan, mengelola serta mengoperasikan layanan TI), tapi juga sebagai sebuah aset strategis perusahaan.         Inti dari Service Strategy adalah bagaimana Service (yang akan kita jalani) mempunyai Value. Service Strategy menilai apakah sebuah Service(layanan) layak di "launch" ke public(customer) atau tidak. Ada 2 hal yang harus di perhatikan agar suatu Service mempunyai value, yaitu :                 1. Utility               2. Warranty            Ada beberapa hal yang dibahas pada Service Strategy. diantaranya :             ...
Post a Comment
Read more
TUGAS ILMU BUDAYA DASAR SELAKU PEMBIMBING IBU HELNAWATY NAMA                 : HARITS AL MUFQI NPM                    : 13115062 KELAS                : 1KA13 TULISAN 1  Budaya Bengkulu           1. Rumah Adat Rumah adat daerah Bengkulu dinamakan Rumah Rakyat. Rumah Rakyat merupakan rumah panggung yang terdiri dari 3 kamar yaitu, kamar orang tua, kamar gadis, dan kamar bujang. Kolong dibawahnya untuk pb venyimpanan kayu dapur dan barang lainnya. Pada piintu masuk ruang tengah terdapat gambar Buraq, pertanda ketangguhan hati penduduknya menjalankan agama islam. Rumah Rakyat terbuat dari kayu meranti dan dilengkapi dengan tangga masuk dari seme...
Post a Comment
Read more