AUDIT TEKNOLOGI SISTEM INFORMASI

1.      Pengertian Audit TSI
Audit teknologi informasi (Inggrisinformation technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh.
Audit system informasi merupakan proses mengumpulkan dan mengevaluasi fakta/temuan/ evidence untuk menentukan apakah suatu sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.
Audit merupakan proses yang sistematis dalam memperoleh dan mengevaluasi bukti-bukti, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.
2.      Proses Audit
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
1)      Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
2)      Tetapkan langkah-langkah audit yang rinci.
3)      Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4)      Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5)      Telaah apakah tujuan audit tercapai.
6)      Sampaikan laporan kepada pihak yang berkepentingan.
7)      Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.
3.      Teknik Audit
Teknik audit adalah cara yang dipergunakan oleh auditor untuk memperoleh bukti,   berikut adalah teknik yang umum di gunakan oleh auditor : analisis, observasi/pengamatan, permintaan informasi, evaluasi, investigasi, verifikasi, cek, uji/tes, footing, cross footing, vouching, trasir, scanning, rekonsiliasi, konfirmasi, bandingkan, inventarisasi, inspeksi.
A.    Teknik-teknik audit yang dapat digunakan untuk pengujian fisik adalah :
·         Observasi/pengamatan adalah peninjauan dan pengamatan atas suatu objek secara hati-hati, ilmiah, dan berkesinambungan selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah.
·         Inventarisasi/opname adalah pemeriksaan fisik dengan menghitung fisik barang, menilai kondisinya dan membandingkan dengan saldo menurut buku, kemudian mencari sebab-sebab terjadinya perbedaan apabila ada. hasil opname biasanya dituangkan dalam suatu berita acara.
·         Inspeksi adalah meneliti secara langsung ketempat kejadian, yang lazim pula disebut on the spot inspection, yang dilakukan secara rinci dan teliti.
B.     Teknik audit untuk bukti dokumen.
·         Verifikasi Adalah pengujian secara rinci dan teliti tentang kebenaran, ketelitian perhitungan, kesahihan, pembukuan, kepemilikan, dan eksistensi suatu dokumen.
·         Cek adalah menguji kebenaran atau keberadaan sesuatu, dengan teliti.
·         Uji/Test uji test adalah penelitian secara mendalam terhadap hal-hal secara esensial atau penting.
·         Footing Adalah menguji kebenaran penjumlahan subtotal dan total dari atas ke bawah, footing dilakukan terhadap data yang disediakan auditi, tujuan teknik footing adalah untuk menentukan apakah data atau laporan yang disediakan auditi dpat diyakini ketepatan perhitungannya.
·         Vouching adalah menelusuri suatu informasi/data dalam suatu dokumen dari pencatatan menuju kepada adanya bukti pendukung, atau menelusuri mengikuti prosedur yang berlaku dari ahasil menuju awal kegiatan.
·         Trasir/telusur adalah teknik audit dengan menelusuri suatu bukti transaksi/kejadian menuju ke penyajian dalam suatu dokumen.
·         Scanning adalah penelaahan secara umum dan dilakukan dengan cepat tetapi teliti, untuk menemukan hal-hal yang tidak lazim atas suatu informasi. contoh scanning terhadap pengeluaran kas yang lebih besar dari Rp. 10.000.000
·         Rekonsiliasi mencocokan dua data yang terpisah, mengenai hal yang sama dikerjakan oleh bagian yang berbeda.
C.     Teknik audit untuk bukti analisis.
·         Analisis memecah atau mengurai data informasi ke dalam unsur-unsur yang lebih kecil atau bagian-bagian, sehingga dapat diketahui pola hubungan antar unsur atau unsur penting tersembunyi.
·         Evaluasi merupakan cara memperoleh suatu kesimpulan dengan mencari pola hubungan atau dengan menghubungkan atau merakit berbagai informasi yang telah diperoleh baik bukti intern maupun ekstern.
·         Investigasi adalah suatu upaya untuk mengupas secara intensif suatu permasalahan melalui penjabaran, penguraian, atau penelitian secara mendalam. tujuan yaitu memastikan apakah indikasi yang diperoleh dari teknik audit yang lainnya dilakukanmemang benar terjadi.
·         Pembandingan yaitu membandingkan data dari satu unit kerja dengan unit kerja lain, atas hal sama dan periode yang sama atau hal yang sama dengan periode yang berbeda kemudian ditarik kesimpulan.
D.     Teknik audit untuk bukti keterangan
·         Konfirmasi : adalah memperoleh bukti sebagai kepastian bagi auditor, dengan cara mendapatkan mendapatkan informasi yang sah dari pihak luar auditi. konfirmasi terdapat konfirmasi positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar dan konfirmasi negatifmerupakan konfirmasi yang meminta jawaban tertulis bila data yang dikonfirmasi berbeda.
·         Permintaan informasi : Permintaan informasi yang dilakukan dengan tujuan menggali informasi tertentu berbagai pihak yang berkopeten. hal-hal yang perlu diperhatikan yaitu sumber informasi.
4.      Regulasi Audit
Dengan dominannya  penggunaan komputer dalam membantu kegiatan operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol yaitu:
a)      COSO (Comitte Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan).Tahun 1992, COSO menyusun dan Menerbitkan Internal Control Integrated Framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal Control Integrated Framework dengan menambah cakupan tentang manajemen  dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).
Pencapaian tujuan pengendalian intern yang didefenisikan COSO:    
1.      Efektifitas dan efisiensi aktivitas operasi
2.      Kehandalan pelaporan keuangan
3.      Ketaatan terhadap hukum dan peraturan yang berlaku
4.      Pengamanan aset entitas.
b)     COBIT (Control Objectives for Information and Related Technology)
Yaitu alat pengendalian untuk informasi dan tekhnology terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI (Information and Technology Governance Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.
c)      SARBOX (Sarbanes-Oxley Act)
Yaitu merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:
1.      Meningkatkan akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.
2.      Meningkatkan pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.
3.      Meningkatkan pengawasan rutin yang lebih intensif oleh SEC.
4.      Meningkatkan akuntabilitas akuntan.
d)     ISO 17799
Yaitu standar untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan keamanan.
e)      BASEL II
BASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank  untuk memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).
5.      Standar dan Kerangka Kerja Audit
Standar Audit SI tidak lepas dari standar professional seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya. 
Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. Beberapa diantaranya adalah:
·         ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals
·         IIA : International Professional Practices Framework / IPPF
·         IASII : Standar Audit Sistem Informasi
·         BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
·         BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi
Standar dan kerangka kerja menurut ISACA:
  





Ø  S1 Audit Charter
·         Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis.
·         Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.
Ø  S2 Independence
·         Professional Independence
·         Dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan.
·         Organisational Independence
·         Fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan.
Ø  S3 Professional Ethics and Standards
·         Auditor  sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.
·         Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit.
Ø  S4 Professional Competence
·         Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
·         Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.
Ø  S5 Planning
·         Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
·         Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.
Ø  S6 Performance of Audit Work
·         Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
·         Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.
·         Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.
Ø  S7 Reporting
·         Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.
·         Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
·         Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.
·         Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.
1.      Manajemen Resiko
Risiko merupakan sesuatu yang tidak ada dalam rencana proyek namun mungkin terjadi dan menyebabkan waktu pelaksanaan proyek menjadi terlambat terlambat, biaya membengkak membengkak dan kompromi terhadap kualitas/kinerja. Risiko merupakan merupakan ancaman-ancaman dalam proyek.
Manajemen Risiko adalah suatu pendekatan terstruktur/metodologi dalam mengelola ketidakpastian yang berkaitan dengan ancaman; suatu rangkaian aktivitas manusia termasuk: Penilaian resiko, pengembangan strategi untuk mengelolanya dan mitigasi resiko dengan menggunakan pemberdayaan/pengelolaan sumberdaya. Strategi yang dapat diambil antara lain adalah memindahkan resiko kepada pihak lain, menghindari resiko, mengurangi efek negatif resiko, dan menampung sebagian atau semua konsekuensi resiko tertentu.



Empat Tahap Manajemen Manajemen Risiko
1.      Identifikasi
·         Antisipasi risiko
·         Membuat daftar risiko, pemicunya dan gejalanya
2.      Analisis
·         Mengevaluasi kemungkinan dampak yang ditimbulkan
·         Kualitatif vs. Kuantitatif
3.      Merespon Risiko Pengembangan strategi mitigasi risiko
·         Mengurangi Mengurangi dampak yang ditimbulkan ditimbulkan risikko risikko
·         Mebuat contigency plan / rencana darurat
4.      Mengendalikan Risiko
·         Memonitor
·         Melakukan update daftar dan strategi
·         Menjalankan contingency plan
·         Menghadapinya
Cara Melakukan Manajemen Resiko Dengan Efektif
Untuk melakukan manajemen risiko kita perlu melelui beberapa proses. Seperti yang dikutip dari id.wikipedia.org, COSO atau  Committee of Sponsoring Organizations of the Treadway Commission menyebutkan ada delapan kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu
·         Lingkungan internal (internal environment)
·         Penentuan sasaran (objective setting)
·         Identifikasi peristiwa (event identification)
·         Penilaian risiko (risk assessment)
·         Tanggapan risiko (risk response)
·         Aktivitas pengendalian (control activities)
·         Informasi dan komunikasi (information and communication)
·         Pemantauan (monitoring)








Sumber:

·                     http://blog.pasca.gunadarma.ac.id/2012/07/20/metode-audit-sistem-informasi-1/
·                     http://davisrockers89.blogspot.co.id/2013/01/audit-teknologi-sistem-informasi-tsi.html
·                     https://blimadeari.wordpress.com/2008/06/05/pengenalan-analisa-risiko-tsi/
·                     http://untag-maulana.blogspot.co.id/2015/03/audit-sistem-aplikasi-4.html


Komentar

Posting Komentar

Postingan populer dari blog ini

Fuzzy logic

Gambar
Fuzzy logic merupakan peningkatan dari logika Boolean yang berhadapan dengan konsep kebenaran sebagian. Saat logika klasik menyatakan bahwa segala hal dapat diekspresikan dalam istilah biner (0 atau 1, hitam atau putih, ya atau tidak), logika fuzzy menggantikan kebenaran boolean dengan tingkat kebenaran. Logika Fuzzy memungkinkan nilai keanggotaan antara 0 dan 1, tingkat keabuan dan juga hitam dan putih, dan dalam bentuk linguistik, konsep tidak pasti seperti "sedikit", "lumayan", dan "sangat". Logika ini berhubungan dengan set fuzzy dan teori kemungkinan. Logika fuzzy diperkenalkan oleh Dr. Lotfi Zadeh dari Universitas California, Berkeley pada 1965. Logika fuzzy adalah suatu cara yang tepat untuk memetakan suatu ruang input ke dalam suatu ruang output. Skema logika fuzzy adalah sebagai berikut: Pada gambar dapat diketahui bahwa antara input dan output terdapat sebuah kotak hitam yang sesuai. Contoh persoalan : -        Sebua...
Baca selengkapnya

BUSINESS RELATIONSHIP MANAGEMENT

Gambar
Business relationship management   (BRM) adalah pendekatan formal untuk pemahaman, mendefinisikan, dan mendukung kegiatan antar-usaha yang terkait dengan jaringan bisnis. Manajemen hubungan bisnis terdiri dari pengetahuan, keterampilan, dan perilaku (atau kompetensi) yang membina hubungan yang produktif antara organisasi jasa ( Sumber Daya Manusia, teknologi informasi, departemen keuangan, atau penyedia eksternal) dan mitra bisnis mereka. BRM berbeda dari manajemen hubungan perusahaan dan manajemen hubungan pelanggan meskipun hal itu berkaitan. Ini adalah ruang lingkup yang lebih besar dari penghubung yang sejalan kepentingan bisnis dengan TI Penyerahan. 1. Ruang Lingkup      Manajemen hubungan bisnis terdiri dari pengetahuan, keterampilan, dan perilaku (atau kompetensi) yang membina hubungan yang produktif antara organisasi jasa (misalnya Sumber Daya Manusia , teknologi informasi , departemen keuangan, atau penyedia eksternal) dan mitra bisnis mereka. BRM...
Baca selengkapnya

Pengantar Inkscape

Pengertian Inkscape Inkscape adalah sebuah perangkat lunak editor gambar vektor yang bersifat bebas terbuka dibawah lisensi GNU GPL. Tujuan utama dari Inkscape adalah membuat perangkat grafik mutakhir yang memenuhi standar XML, SVG, dan CSS. Fungsi Inkscape Inkscape dapat digunakan untuk membuat gambar vektor untuk berbagai kebutuhan, misalnya untuk membuat gambar ilustrasi pada web, ikon untuk smartphone, gambar kartun atau animasi, membuat garis sederhana, kaligrafi, logo, brosur, dan masih banyak lagi. Format gambar yang dibuat menggunakan Inkscape sangat handal dan dapat disebarkan melalui internet dengan mudah karena ukurannya lebih kecil dibandingkan dengan format yang dibuat menggunakan aplikasi lain yang sejenis. Dukungan untuk berbagai format telah ditambahkan termasuk untuk berbagai browser dan smartphone masa kini. Bagian-bagian dari inkscape : 1.         Menu Bar Menu Bar atau dalam bahasa Indonesi sering disebut baris menu, berisi da...
Baca selengkapnya