AUDIT SISTEM INFORMASI
1. Konsep Audit
Audit dan kontrol
teknologi informasi menjadi penting karena organisasi membutuhkan acuan,
parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada
pencapaian tujuan organisasi secara terintegratif dan komprehensif. IT Audit
dan Kontrol menjelaskan sebuah proses untuk mereview dan memposisikan IT
sebagai instrument penting dalam pencapaian usaha/bisnis korporasi. Audit IT
dan control melakukan proses sistematik, terencana, dan menggunakan keahlian IT
untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari
implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT
Audit dan control selain juga menunjukkan jenjang professional tertentu dalam
professional, juga membuat seseorang akan menganalisa, merancang, membangun,
mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan TIK
tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar
internasional.
Penerapan IT audit
sendiri dibentuk pada pertengahan 1960-an dan sejak saat itu telah berubah
spesifikasi nya berkali-kali karena perkembangan pesat teknologi dan
penggabungan ke dalam bisnis. Audit teknologi selalu mengacu pada pemeriksaan
kontrol dalam infrastruktur TI. Praktek Audit menjamin kelangsungan bisnis
dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan
tindakan perlindungan untuk melindungi 36 aset IT.
2. Proses Audit
Proses Audit dalam konteks teknologi informasi adalah
memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses
audit sistem informasi yaitu:
- Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
- Tetapkan langkah-langkah audit yang rinci
- Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
- Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
- Telaah apakah tujuan audit tercapai
- Sampaikan laporan kepada pihak yang berkepentingan
- Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.
Perencanaan sebelum menjalankan proses audit dengan
metodologi audit yaitu:
- Audit subject
- Audit objective
- Audit Scope
- Preaudit planning
- Audit procedures and Steps for data gathering
- Evaluasi hasil pengujian dan pemeriksaan
- Audit report preparation
Berikut struktur isi laporan audit secara umumnya(tidak
baku):
- Pendahuluan
- Kesimpulan umum auditor
- Hasil audit
- Rekomendasi
- Exit interview
3. Teknik Audit
Menurut Davis,
Schiller dan Wheeler (2011) tahap melakukan audit TI adalah
- Tinjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi TI menyediakan untuk tugas wewenang dan tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.
- Meninjau proses perencanaan strategis TI untuk memastikan bahwa itu sejalan dengan strategi bisnis. Mengevaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.
- Menentukan apakah teknologi dan aplikasi strategi dan roadmap ada, dan mengevaluasi proses perencanaan teknis jangka panjang.
- Tinjau indikator kinerja dan pengukuran untuk IT. Memastikan bahwa proses dan metrik pada tempatnya (dan disetujui oleh para pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk pelacakan kinerja terhadap SLA, anggaran, dan persyaratan operasional lainnya.
- Evaluasi standar untuk mengatur pelaksanaan proyek IT dan untuk memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI. Menentukan bagaimana standar tersebut dikomunikasikan dan ditegakkan.
- Pastikan bahwa kebijakan keamanan TI ada dan memberikan persyaratan yang memadai untuk keamanan lingkungan. Tentukan bagaimana kebijakan tersebut dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.
- Meninjau dan mengevaluasi proses penilaian risiko di tempat bagi organisasi TI.
- Tinjau dan evaluasi proses untuk memastikan bahwa karyawan IT di perusahaan memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan mereka.
- Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengelompokkan data, melindungi data sesuai dengan klasifikasinya, dan mendefinisikan life cycle data.
- Tinjau dan evaluasi proses untuk memastikan bahwa end user lingkungan TI memiliki kemampuan untuk melaporkan masalah, secara tepat terlibat dalam keputusan TI, dan puas dengan layanan yang diberikan oleh TI.
- Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan dengan jelas dan pemantauan kinerja mereka.
- Meninjau dan mengevaluasi proses untuk mengontrol akses login non karyawan.
- Meninjau dan mengevaluasi proses untuk memastikan bahwa perusahaan telah memenuhi lisensi perangkat lunak yang berlaku.
4. Regulasi Audit
Uji kepatutan (compliance test) dilakukan dengan menguji
kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap
standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari
hasil pengumpulan bukti.
Adapun
langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan
sebagaimana berikut :
a. Tahapan Pengidentifikasian
Objek yang Diaudit
Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan
hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada
penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung
juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI
memenuhi objektif kontrol terkait.
b.
Tahapan Evaluasi
Audit
Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan
memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang
efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi
pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil
evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang
harus dilakukan oleh masing-masing pihak yang bersangkutan.
5. Standar & Kerangka Kerja Audit
Standar Audit
Sistem Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII Tahun 2006
pada tanggal 25 Februari 2006 bertempat di Jakarta. SASI IASII berlaku
bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan
Audit Sistem Informasi. Standar ini mulai berlaku efektif sejak tanggal
01 Januari 2007 dan dapat diterapkan sebelum tanggal tersebut. Adapun
beberapa aturan yang standarisasikan, antara lain:
1). Penugasan
Audit, mencakup :
c. (a). Tanggung Jawab
d. (b). Wewenang dan
e. (c). Akuntabilitas
2). Independensi
& Obyektifitas
3). Profesionalisme
& Kompetensi
4). Perencanaan
5).Pelaksanaan,
yang mencakup :
a. (a). Pengawasan
b. (b). Bukti-bukti Audit
c. (c). Kertas Kerja Audit
6). Pelaporan
7). Tindak Lanjut
Kerangka Kerja
Audit Sistem Informasi dapat diuraikan dalam beberapa tahapan berdasarkan
kerangka pikir manajemen, teknologi informasi dan pertimbangan sistem ahli yang
semuanya mengacu pada kerangka kerja menghasilkan laporan audit sistem
informasi.
6. Manajemen Resiko
Manajemen risiko adalah sebuah proses yang diaplikasikan
dalam perumusan strategi dan dirancang untuk mengidentifikasi kejadian
potensial yang mungkin akan berdampak pada keseluruhan organisasi, dan
pengelolaan risiko. Kategori sasaran dalam manajemen risiko :
a.
Strategis : tujuan tingkat tinggi,
selaras dengan dan mendukung misi
b.
Operasional : penggunaan sumberdaya
secara efektif dan efisien
c.
Pelaporan : keandalan pelaporan
d.
Pemenuhan : pemenuhan hukum dan
peraturan yang berlaku
FALSAFAH COSO
Bagi COSO,
pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan auditor
internal korporasi, sehingga auditor internal harus paham proses dan sarana
untuk identifikasi, penilaian, pengukuran dan penetapan tingkat risiko (risk
assessment) sebagai dasar menyusun prosedur audit internal. COSO menyatakan
bahwa setiap entitas menghadapi risiko internal dari luar, bahwa risiko-risiko
tersebut harus didentifikasi dan dinilai-diukur terfokus pada pengamanan
sasaran strategis korporasi. Perubahan sosial-politik-ekonomi-industri-hukum
dan perubahan kondisi operasional perusahaan teraudit mengandung risiko,
manajemen perusahaan harus membentuk mekanisme untuk mengenali & menghadapi
perubahan tersebut. Basis utama manajemen risiko adalah asesmen risiko. Untuk
keberlangsungan usaha, asesmen risiko merupakan tanggungjawab manajemen yang
bersifat integral dan terus menerus, karena manajemen tak dapat memformulasikan
sasaran dengan asumsi sasaran akan tercapai tanpa risiko atau hambatan.
Contoh risiko,
bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah :
a. Pesaing meluncurkan produk baru
b. Perubahan teknologi menyebabkan jasa atau produk tidak laku
c. Manajer andalan tiba-tiba mengundurkan diri sebagai karyawan
d. Formula rahasia dicuri dan dijual oleh karyawan kepada pesaing
e. KKN menggerus laba dan membuat perusahaan keropos
Komentar
Posting Komentar