Latar
Belakang
Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.
Secara umum dikenal tiga jenis audit; Audit keuangan, audit operasional dan audit sistem informasi (teknologi informasi). Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relatif baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis.
Ada beberapa aspek yang diperiksa pada
audit sistem teknologi informasi: Audit secara keseluruhan menyangkut
efektifitas, efisiensi, availability system, reliability, confidentiality, dan
integrity, serta aspek security. Selanjutnya adalah audit atas proses,
modifikasi program, audit atas sumber data, dan data file. Audit TI sendiri merupakan
gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen
Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral
Science.
Tahapan-tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program. Selanjutnya adalah pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee. Terakhir adalah membuat laporan audit.
Tahapan-tahapan dalam audit TI pada prinsipnya sama dengan audit pada umumnya. Meliputi tahapan perencanaan, yang menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat diselesaikan dalam waktu sesuai yang disepakati. Pada tahap perencanaan ini penting sekali menilai aspek internal kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit program. Selanjutnya adalah pengumpulan bukti (evidence), pendokumentasian bukti tersebut dan mendiskusikan dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan tindakan perbaikan dari auditee. Terakhir adalah membuat laporan audit.
Dalam pelaksanaannya, auditor TI mengumpulkan
bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview,
observasi dan review dokumentasi (termasuk review source-code bila diperlukan).
Bisa jadi bukti-bukti audit yang diambil oleh auditor mencakup bukti elektronis
(data dalam bentuk file softcopy). Dalam proses pengumpulan bukti ini ada
beberapa cara yang sering dipakai yaitu, audit around computer, audit trought
computer dan audit with computer. Jika tingkat pemakaian TI tinggi maka audit
yang dominan digunakan adalah audit with computer atau yang biasa disebut
dengan teknik audit berbantuan computer atau menggunakan CAAT (Computer Aided
Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja
data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas
nasabah, dan lain-lain. Tentunya untuk aspek sekuriti adakalanya auditor
dituntut mempunyai keahlian teknis yang cukup memadai untuk menguji keamanan
sistem.
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure.
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure.
Standar yang aplicable untuk audit TI
adalah terdiri dari 11 standar yaitu; S1. Audit charter, S2. Audit Independent,
S3. Profesional Ethic and standard, S4.Profesional competence, S5. Planning,
S6. Performance of Audit Work, S7. Reporting. S8.Follow-Up Activity, F9.
Irregularities and Irregular Act, S10. IT Governance dan S11. Use of Risk
Assestment in Audit Planning. IS Auditing Guideline terdiri dari 32 guidance
dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting. IS
Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang
dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur
melakukan bagaimana melakukan risk assestment, mengetes intrution detection
system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan audit
keuangan, maka standar dari Isaca ini adalah setara dengan Standar Profesional
Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan.
Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan
standar tersendiri yaitu Cobit.
COBIT (Control Objective for Information Related Tecnology)
COBIT (Control Objective for Information Related Tecnology)
COBIT (Control Objective for Information
Related Tecnology) adalah kerangka tata kelola TI (IT governance) yang ditujukan
kepada manajemen, staf pelayanan TI, control departemen, fungsi audit dan lebih
penting lagi bagi pemilik proses bisnis (business process owner’s), untuk
memastikan confidenciality, integrity and availability data serta informasi
sensitif dan kritikal. COBIT didesign terdiri dari 34 high level control
objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan
and Organise, Acquire and Implement, Deliver and Support dan Monitor and
Evaluate. Dengan melakukan kontrol terhadap ke 34 objektif tersebut, organisasi
dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang
diperlukan untuk lingkungan TI. Untuk mendukung IT process tersebut tersedia
lagi sekitar 215 tujuan control yang lebih detil untuk menjamin kelengkapan dan
efektifitas implementasi. Saat ini sudah terbit Cobit 4.1.
The COBIT Framework juga memasukkan hal
berikut Maturity Models – Untuk memetakan status maturity proses-proses TI
(dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry”
dan juga International best practices. Critical Success Factors (CSFs) – Arahan
implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI. Key
Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan kebutuhan
bisnis dan Key Performance Indicators (KPIs) – Kinerja proses-proses TI
sehubungan dengan process goals
COBIT dikembangkan sebagai suatu generally
applicable and accepted standard for good Information Technology (IT) security
and control practices . Istilah ” generally applicable and accepted ” digunakan
secara eksplisit dalam pengertian yang sama seperti Generally Accepted
Accounting Principles (GAAP). Suatu perencanaan audit TI dapat dimulai dengan
menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa
atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu,
misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan
dari proses-proses tersebut.
Hasil Audit? Siapa yang Melakukan Audit?
Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu. Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan yang diperlukan. Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati bersama. Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan auditor. Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen.
Siapakah sebaiknya yang melakukan audit sistem informasi? Audit sistem informasi dapat dilakukan sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor independent) untuk melakukannya. Di AS hasil audit sistem informasi terhadap bank harus dipublikasikan kepada publik. Dengan demikian pengguna jasa, nasabah mengetahui kondisi layanan sistem informasi pada bank tersebut. Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum yang mengatur tata cara pelaporan tersebut.
Hasil Audit? Siapa yang Melakukan Audit?
Auditor Sistem Informasi pada dasarnya melakukan penilaian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu. Kemudian berdasarkan pengujian Auditor akan memberikan rekomendasi perbaikan yang diperlukan. Adakalanya judgement diperlukan berdasarkan kriteria yang disepakati bersama. Penanggung jawab sistem yang diaudit tetap berada pada pengelola sistem, bukan di tangan auditor. Atas rekomendasi yang diberikan tentunya diharapkan ada tindak lanjut perbaikan bagi manajemen.
Siapakah sebaiknya yang melakukan audit sistem informasi? Audit sistem informasi dapat dilakukan sebagai bagian dari pengendalian internal yang dilakukan oleh fungsi TI. Tapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, audit dapat dilakukan dengan mengundang pihak ketiga (auditor independent) untuk melakukannya. Di AS hasil audit sistem informasi terhadap bank harus dipublikasikan kepada publik. Dengan demikian pengguna jasa, nasabah mengetahui kondisi layanan sistem informasi pada bank tersebut. Jika sebuah hasil audit TI perlu dipublikasikan, tentunya perlu perangkat hukum yang mengatur tata cara pelaporan tersebut.
Tujuan
Audit Sistem informasi
1.
Mengamankan Asset
Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
2. Menjaga Integritas Data
Integritas data berarti data memiliki atribut:
kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3. Menjaga Efektifitas Sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.
perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user), apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user. Auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.
Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan.
4. Efisiensi
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.
Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
2. Menjaga Integritas Data
Integritas data berarti data memiliki atribut:
kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3. Menjaga Efektifitas Sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.
perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user), apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user. Auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.
Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan.
4. Efisiensi
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.
Gambaran Umum Audit Sstem Informasi
Komentar
Posting Komentar