Definisi Audit
Audit pada dasarnya adalah proses sistematis dan
objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna
memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai
dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait.
Audit
Teknologi Sistem Informasi
Audit Teknologi Sistem Informasi atau TSI
adalah proses mengumpulkan dan mengevaluasi untuk menentukan apakah sistem
komputer mengamankan aset , memelihara integritas data , mencapai tujuan
organisasi secara efektif, dan mengkonsumsi sumber daya secara efisien.
Audit memiliki proses atau tahapan-tahapan
, antara lain :
1. Tahapan
Perencanaan
Yang
menghasilkan suatu program audit yang didesain sedemikian rupa, sehingga
pelaksanaannya akan berjalan efektif dan efisien
2. Pengumpulan Bukti
Pendokumentasian bukti tersebut dan mendiskusikan
dengan auditee tentang temuan apabila jika ditemukan masalah yang memerlukan
tindakan perbaikan dari auditee.
3. Membuat
Laporan Audit
Dalam pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai
melalui berbagai teknik termasuk survei, interview, observasi dan review
dokumentasi (termasuk review source-code bila diperlukan).
Tujuan Audit Teknologi Informasi
Audit teknologi sistem informasi bertujuan untuk mengevaluasi desain pengendalian internal sistem dan efektivitas. Tidak
terbatas pada pada efisiensi dan keamanan protokol, proses pengembangan, dan
tata kelola TI. Instalasi kontrol sangat diperlukan, tetapi perlu adanya
keamanan protokol yang memadai agar tidak ada pelanggaran keamanan. Dalam lingkungan
Sistem Informasi, audit adalah pemeriksaan sistem informasi, input, output, dan
pengolahan.
Konsep Audit Teknologi Sistem Informasi
1.
Perencanaan
Tahap perencanaan ini
yang akan dilakukan adalah menentukan ruang lingkup, objek yang akan diaudit,
standard evaluasi dari hasil audit dan komunikasi dengan managen pada
organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan
objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan
pengolahan investigasi. Pada tahap ini yang akan dilakukan adalah pengumpulan
informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang
terkait. Pada tahap perencanaan ini penting sekali menilai aspek internal
kontrol, yang mana dapat memberikan masukan terhadap aspek resiko, yang pada
akhirnya akan menentukan luasnya pemeriksaan yang akan terlihat pada audit
program.
2.
Pengumpulan
Bukti
Pada tahap ini yang akan
dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan
data dengan pihak-pihak yang terkait. Penngumpulan bukti tersebut dan
mendiskusikan dengan auditor tentang temuan apabila jika ditemukan masalah yang
memerlukan tindakan perbaikan dari auditor.
3.
Membuat
Laporan
Pada tahap ini yang akan
dilakukan memberikan informasi berupa hasil-hasil dari audit. Dalam
pelaksanaannya, auditor TI mengumpulkan bukti-bukti yang memadai melalui
berbagai teknik termasuk survei, interview, observasi dan review dokumentasi
(termasuk review source-code bila diperlukan).
Proses Audit Teknologi Sistem Informasi
Proses Audit dalam
konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan
semestinya. Berikut dibawah ini adalah beberapa proses audit sistem informasi.
1.
Planning
& Organisation
Pada tahap ini terdapat
proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan,
mencakup masalah strategi, taktik dan identifikasi cara terbaik TI untuk
memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi.
2.
Acquisition
& Implementation
Berkaitan dengan
implementasi solusi IT dan integrasinya dalam proses bisnis organisasi, juga
meliputi perubahan dan perawatan yang dibutuhkan sistem yang sedang berjalan
untuk memastikan daur hidup sistem tetap terjaga
3.
Delivery
& Support
Mencakup tentang proses
pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan
pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan.
4.
Mentoring
Berfokus tentang masalah
kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan
eksternal dan jaminan independent dari proses pemerikasaan yang dilakukan.
Teknik Audit Teknologi Sistem Informasi
Ada
12 teknik audit menurut Chris Davis, yaitu:
a. Audit pengendalian Entity Level
b. Audit
data centres dan disaster recovery
c. Audit
switch, routers dan firewalls
d. Audit
sistem operasi
e. Audit
web server dan web aplikasi
f. Audit
database
g. Audit
penyimpanan
h. Audit
lingkungan virtual
i. Audit
wlan dan mobile devices
j. Audit
aplikasi
k. Audit
cloud computing dan outsourced operations
l. Audit
proyek perusahaan/organisasi
Regulasi Audit Teknologi Sistem Informasi
Dengan dominannya penggunaan komputer dalam membantu kegiatan
operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol
sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang
diproses adalah benar. Beberapa jenis standar kontrol yaitu:
1.
COSO (Comitte Of Sponsoring Organizationof the
treadway commission’s)
Yang dibentuk pada tahun
1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan
dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan).
Tahun 1992, COSO menyusun dan menerbitkan Internal Control Integrated Framework
yang berisi rumusan definisi pengendalian internal, pedoman penilaian, serta
perbaikan terhadap sistem pengendalian internal.Tahun 2004, COSO mengembangkan
Internal Control Integrated Framework dengan menambah cakupan tentang
manajemen dan strategi resiko yang
disebut ERM (Enterprise Risk Manajement).
Pencapaian tujuan
pengendalian internal yang didefenisikan COSO:
a. Efektifitas
dan efisiensi aktivitas operasi
b. Kehandalan
pelaporan keuangan
c. Ketaatan
terhadap hukum dan peraturan yang berlaku
d. Pengamanan
aset entitas
2.
COBIT (Control Objectives for Information and
Related Technology)
Yaitu alat pengendalian untuk informasi dan tekhnology
terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI
(Information and Technology Governance Institute) pada tahun 1992. Tujuan dari
COBIT yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu standar
teknologi informasi yang diterima umum dan selalu up to date untuk digunakan
dalam kegiatan bisnis sehari-hari.
3.
SARBOX
(Sarbanes-Oxley Act)
Merupakan peraturan yang
ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia
pasarmodal Amerika Serikat.
Tujuan SARBOX yaitu:
a. Meningkatkan
akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara
memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab
mereka
b. Meningkatkan
pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan
transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak
disyaratkan untuk diungkap di publik
c. Meningkatkan
pengawasan rutin yang lebih intensif oleh SEC
d. Meningkatkan
akuntabilitas akuntan
4.
ISO / IEC 17799
Yaitu standar untuk
sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan
informasi, alokasi keamanan informasi tanggung-jawab, menyediakan semua para
pemakai dengan pendidikan dan pelatihan didalam keamanan informasi,
mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan
virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan
pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris,
mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati
kebijakan keamanan.
5.
BASEL II
Dibentuk sebagai
penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan bank-bank untuk memisahkan eksposurnya ke dalam kelas
yang lebih luas, yang menggambarkan kesamaan tipe debitur (hutang).
Standart
dan kerangka kerja audit
Kerangka dan standart muncul untuk
memberikan panduan bagi pengelolaan dan evaluasi proses TI. Beberapa kerangka
kerja dan standar yang paling menonjol saat ini terkait dengan penggunaan
teknologi.
Management
Resiko Teknologi Sistem Informasi
Siklus Hidup Manajemen Resiko TSI dimulai
dengan identifikasi aset informasi , Mengukur dan Memenuhi syarat ancaman ,
Menilai Kerentanan, dan Remediate Control Gap.
REFERENSI
:
IT AUDITING – USING CONTROLS TO PROTECT
INFORMATION ASSETS BY CHRIS DAVIS AND MIKE SCHILLER WITH KEVIN WHEELER, 2011.
Tidak ada komentar:
Posting Komentar