Jumat, 27 Desember 2019

Aspek-Aspek Pada Application Control Framework

klik untuk mendownload : tugas 6
Diposting oleh di Tidak ada komentar:

Aspek-Aspek Pada Management Control Framework

klik untuk mendownload : tugas 5
Diposting oleh di Tidak ada komentar:

Minggu, 03 November 2019

Audit Teknologi Sistem Informasi


TUGAS 4
AUDIT TEKNOLOGI SISTEM INFORMASI




Disusun oleh :

Elcy Monica
12116293
Hafizah Aulia
13116150
Markus Reynaldo S
14116271
Prillia Kartika E P
15116791
Yohanes Risco
17116784


Fakultas Ilmu Komputer & Teknologi Informasi
Universitas Gunadarma
2019

1. Pendahuluan


Saat ini TI menjadi salah satu bagian yang sangat penting bagi suatu perusahaan untuk mendukung pencapaian rencana strategis dan tujuan perusahaan. Kebutuhan akan pengambilan sebuah keputusan yang cepat dan akurat, persaingan yang ketat, serta pertumbuhan dunia usaha menuntut dukungan penggunaan tekhnologi mutakhir yang kuat dan handal. Dalam konteks ini keberhasilan organisasi akan sangat dipengaruhi oleh kemampuan dalam memanpaatkan teknologi informasi secara optimal. Sukses auditor internal sangat tergantung kepada kemampuan menyumbang nilai terhadap organisasi melalui pemanfaatan tekhnologi informasi secara efektif. Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Audit SI juga memiliki beberapa tujuan seperti pengamana aset, menjaga integritas data, efektifitas sistem, efisiensi sistem, dan ekonomis.

2. Landasan Teori

  • Pengertian COBIT

Control Objective for Information and related Technology atau COBIT merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.
COBIT dikenal luas sebagai standard defacto untuk kerangka kerja tata kelola TI (IT Governance) dan yang terkait dengannya. Di sisi lain standard/framework ini terus berevolusi sejak pertama kali diluncurkan di 1996 hingga rilis terakhir yaitu COBIT 5 yang diluncurkan pada Juni 2012 yang lalu. Pada setiap rilisnya, kerangka kerja ini melakukan pergeseran-pergeseran beberapa paradigma.
COBIT berorientasi proses, dimana secara praktis COBIT dijadikan suatu standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan TI. COBIT memberikan panduan kerangka kerja yang bisa mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi.

COBIT memiliki 4 cakupan domain, yaitu :
  • Perencanaan dan organisasi (plan and organise)
  • Pengadaan dan implementasi (acquire and implement)
  • Pengantaran dan dukungan (deliver and support)
  • Pengawasan dan evaluasi (monitor and evaluate)


Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan IT. COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor.

  • Sejarah COBIT

COBIT pertama kali diterbitkan pada tahun 1996, kemudian edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Kemudian COBIT 4.1 dirilis pada tahun 2007 dan saat ini COBIT yang terakhir dirilis adalah COBIT 5.0 yang dirilis pada tahun 2012.
COBIT merupakan kombinasi darj prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSCO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.

Kriteria Informasi Berdasarkan COBIT
Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
  • Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
  • Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
  • Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
  • Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
  • Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
  • Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
  • Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.


  • Manfaat dan Pengguna COBIT

Secara manajerial target pengguna COBIT dan manfaatnya adalah :
  • Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI.
  • Manajemen
Untuk mengambil keputusan investasi TI.
Untuk keseimbangan resiko dan kontrol investasi.
Untuk benchmark lingkungan TI sekarang dan masa depan.
  • Pengguna
Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.
  • Auditors
Untuk memperkuat opini untuk manajemen dalam control internal.
Untuk memberikan saran pada control minimum yang diperlukan.

3. Prinsip Dasar Kerangka Kerja COBIT

Kerangka kerja COBIT terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi secara keseluruhan, yang pada dasarnya terdiri dari tiga tingkat usaha pengaturan TI yang menyangkut manajemen sumber daya TI. Yaitu dari bawah, kegiatan tugas (Activies and Tasks) merupakan kegiatan yang dilakukan secara terpisah yang diperlukan untuk mencapai hasil yang dapat diukur. Dan selanjutnya kumpulan Activity dan Tasks dikelompokkan kedalam proses TI yang memiliki permasalahan pengelolaan TI yang sama akan dikelompokkan dalam domain. Maka konsep kerangka kerja dapat dilihat dari tiga sudut pandang, meliputi : Informasi Criteria, IT Resources, IT Processes, seperti terlihat pada gambar dibawah ini :



Cube COBIT (ITGI : 2007)
Model proses COBIT terdapat empat domain yang didalamnya terdapat 34 proses dalam memberikan informasi kepada dunia usaha sesuai dengan bisnis dan kebutuhan tata kelola teknologi informasi. Sehingga domain tersebut dapat di identifikasikan yang terdiri dari 34 proses, yaitu (ITGI, 2007).

Plan and organize (PO)
Yaitu mencakup masalah mengidentifikasi cara terbaik TI untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Domain PO terdiri dari 10 control objectives, meliputi :
  • PO1 : Define a strategic IT plan
  • PO2 : Define the information architecture
  • PO3 : Determine technological direction
  • PO4 : Define the IT processes, organization and relationships
  • PO5 : Manage the IT investment
  • PO6 : Communicate management aims and direction
  • PO7 : Manage IT human resources
  • PO8 : Manage quality human resource
  • PO9 : Asses and manage IT risks
  • PO10 : Manage projects

Acquire and Implement (AI)
Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai solusi TI tersebut diadakan, diimplementasikan dan di integrasikan kedalam proses bisnis organisasi. Dimana domain AI terdiri dari 7 control objectives, meliputi :
  • AI1 : Identify automated solutions
  • AI2 : Acquire and maintain application software
  • AI3 : Acquire and maintain technology infrastructure
  • AI4 : Enable operation and use
  • AI5 : Procure IT resources
  • AI6 : Manage changes
  • AI7 : Install and accredit solutions and changes


Deliver and Support (DS)
Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan, pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan. Dimana domain DS terdiri dari 13 control objectives, meliputi :
  • DS1 : Define and manage service levels
  • DS2 : Manage third-party services
  • DS3 : Manage performance and capacity
  • DS4 : Ensure continuous service
  • DS5 : Ensure systems security
  • DS6 : Identify and allocate costs
  • DS7 : Educate and train users
  • DS8 : Manage service desk and incidents
  • DS9 : Manage the configuration
  • DS10 : Manage problems
  • DS11 : Manage data
  • DS12 : Manage the physical environment
  • DS13 : Manage operations

Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini fokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4 control objectives, meliputi:
  • ME1 : Monitor and evaluate IT performance
  • ME2 : Monitor and evaluate internal control
  • ME3 : Ensure regulatory compliance
  • ME4 : Provide IT Governance

Maka dengan melakukan kontrol terhadap 34 kontrol objectives tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI. Karena COBIT dirancang berorientasi bisnis agar bisa digunakan banyak pihak, tetapi lebih penting lagi adalah sebagai panduan yang komperehensif bagi manajemen dan pemilik bisnis proses. Kebutuhan bisnis akan tercermin dari adanya kebutuhan informasi. Dan informasi itu sendiri perlu memenuhi kriteria kontrol tertentu, untuk mencapai tujuan bisnis.

4. Contoh Kasus

BPJS (Badan Penyelenggara Jaminan Sosial) Ketenagakerjaan adalah program publik yang memberikan perlindungan bagi tenaga kerja. Dalam pelaksanaan tugasnya BPJS Ketenagakerjaan menerapkan teknologi informasi sebagai salah satu penunjang untuk pencapaian tujuan bisnis salah satunya adalah dengan mengembangkan layanan BPJSTK Mobile. BPJSTK Mobile adalah aplikasi pelayanan untuk peserta sebagai bentuk perluasan media layanan informasi yang dihadirkan untuk pekerja yang ingin memastikan pemenuhan hak-haknya oleh perusahaan. Pentingnya layanan BPJSTK Mobile untuk melakukan kegiatan operasional menjadikannya harus dalam kondisi yang optimal, namun kurangnya tata kelola dalam penerapan teknologi informasi mengakibatkan kurang optimalnya perusahaan dalam menjalankan tugas dan pencapaian tujuan, sehingga BPJSTK Mobile perlu dievaluasi agar perusahaan dapat mengukur apakah teknologi informasi yang diimplementasikan sudah sesuai dengan yang diharapkan. Pada penelitian ini, standar tata kelola teknologi informasi yang digunakan adalah COBIT 5 dengan domain Deliver, Support, Services (DSS). Hasil dari penelitian menunjukkan Capability Level dari proses DSS01 dan DSS02 berada pada level 2 yaitu managed process, proses DSS03, DSS04, DSS05 dan proses DSS06 berada pada level 1 yaitu performed process. Rekomendasi yang diberikan adalah memperbaiki kegiatan proses bisnis dengan memanfaatkan aplikasi secara optimal dan membuat Standard Operasional Procedure (SOP) yang lengkap terkait dengan teknologi informasi perusahaan.

5. Kesimpulan

Audit sangat dibutuhkan dalam suatu organisasi / perusahaan. Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Audit SI juga memiliki beberapa tujuan seperti pengamana aset, menjaga integritas data, efektifitas sistem, efisiensi sistem, dan ekonomis. Dalam mengaudit kita juga dapat menggunakan beberapa metode seperti COBIT, ITIL, COSO, ISO77001 untuk membantu memudahkan proses pengauditan.

Daftar Pustaka

  1. Al-Rasyid, A., 2016. Analisis Audit Sistem Informasi Berbasi COBIT 5 Pada Domain Deliver, Service, and Support (DSS) (Studi Kasus: SIM-BL di Unit CDC PT Telkom Pusat. Tbk).
  2. Institute, 2007. IT Governance Guide using COBIT ed.s.l.:www.itgi.org.
  3. ISACA, 2012. A Business Framework for the Governance and Management of Enterprise IT. COBIT ed. s.l.:www.isaca.org.
  4. IT Governance Institute. (2007), “COBIT 4.1 Framework Control Objectives, Management Guidelines, Maturity Models”, IT Governance Institute.
  5. Ketenagakerjaan, B., 2014. BPJS Ketenagakerjaan.

Diposting oleh di Tidak ada komentar:

Ringkasan E-book IT Auditing Using Controls To Protect Information Assets



TUGAS 3
AUDIT TEKNOLOGI SISTEM INFORMSI

Kelompok:
Elcy Monica                   12116293
Hafizah Aulia                 13116150
Markus Reynaldo          14116291
Prillia Kartika                15116791
Yohanes Risco                 17116784

 FAKULTAS ILMU KOMPUTER & TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA
2019

Pusat Data Audit dan Pemulihan Bencana

Fasilitas pemrosesan teknologi informasi (TI), biasanya disebut sebagai pusat data, merupakan inti dari sebagian besar operasi organisasi modern, mendukung hampir semua kegiatan bisnis penting. Dalam bab ini kita akan membahas langkah-langkah untuk mengaudit kontrol pusat data, termasuk bidang-bidang berikut:
  • Kontrol keamanan fisik dan lingkungan·         
  • Operasi pusat data
  • Ketahanan sistem dan situs
  • Kesiapsiagaan bencana

Latar Belakang
Sejak komputer elektronik pertama (Electronic Numeral In-Tegrator and Computer, atau ENIAC) diciptakan pada tahun 1946, sistem komputer telah memiliki persyaratan keamanan lingkungan, daya, dan listrik tertentu. Dimulai pada akhir 1950-an, ketika komputer mainframe menjadi lebih banyak tersedia, pusat data diciptakan untuk tujuan memenuhi persyaratan ini.
Pusat data saat ini menyediakan infrastruktur kontrol akses fisik, kontrol lingkungan, daya dan konektivitas jaringan, sistem pencegah kebakaran, dan sistem alarm. Infrastruktur pusat data ini dirancang untuk mempertahankan lingkungan komputasi optimal yang konstan. Peran auditor adalah untuk memverifikasi dan memvalidasi bahwa semua sistem dan prosedur yang diperlukan ada dan berfungsi dengan baik untuk melindungi kerahasiaan, integritas, dan ketersediaan sistem dan data perusahaan.

Esensi Audit Pusat Data
Pusat data adalah fasilitas yang dirancang untuk menampung sistem kritis organisasi, yang terdiri dari perangkat keras komputer, sistem operasi, dan aplikasi. Ancaman pusat data utama meliputi:
·         Ancaman alami seperti peristiwa cuaca, banjir, gempa bumi, dan kebakaran
·         Ancaman buatan manusia seperti insiden teroris, kerusuhan, pencurian, dan sabotase
·         Bahaya lingkungan seperti suhu dan kelembaban ekstrem
·         Hilangnya utilitas seperti tenaga listrik dan telekomunikasi

Keamanan Fisik dan Kontrol Lingkungan
Pusat data menggabungkan beberapa jenis kontrol berbasis fasilitas, biasanya disebut sebagai kontrol keamanan fisik dan lingkungan, termasuk sistem kontrol akses fasilitas, sistem alarm, dan sistem pemadam kebakaran. Sistem ini dirancang untuk mencegah instruksi yang tidak sah, mendeteksi masalah sebelum menyebabkan kerusakan, dan mencegah penyebaran api.

Langkah Uji untuk Pusat Data Audit
Bidang topik berikut harus ditangani selama audit pusat data:
·         Faktor resiko lingkungan dan eksternal
·         Kontrol akses fisik
·         Kontrol lingkungan
·         Daya dan listrik
·         Ketahanan sistem

Faktor Risiko Lingkungan dan Eksternal
  1. Tinjau Pencahayaan eksterior pusat data, orientasi bangunan, signage, pagar, dan karakteristik lingkungan untuk mengidentifikasi risiko terkalit fasilitas.
  2. Penelitian lokasi pusat data untuk bahaya lingkungan dan untuk menentukan jarak ke layanan darurat.
  3. Tinjau pintu dan dinding pusat data untuk menentukan apakah mereka melindungi fasilitas secara memadai.
  4. Mengevaluasi perangkat otentikasi fisik untuk menentukan apakah mereka sesuai dan berfungsi dengan baik.
  5. Pastikan bahwa prosedur kontrol akses fisik bersifat komperhensif dan diikuti oleh pusat data dan staf keamanan.
  6. Pastikan alarm pencuri dan sistem pengawasan melindungi pusat data dari gangguan fisik
  7. Tinjau log bundar penjaga keamanan dan dokumentasi lain untuk mengevaluasi efektivitas fungsi personel keamanan.
  8. Pastikan area sensitif di dalam pusat data diamankan dengan memadai.
  9. Pastikan sistem HVAC mempertahankan suhu konstan di dalam pusat data.
  10. Pastikan sistem alarm air dikonfigurasikan untuk mendetekasi air di area beresiko tinggi di pusat data.
  11. Tentukan apakah pusat data memiliki umpan daya yang berlebihan.
  12. Pastikan bahwa ground-to-earth ada untuk melindungi system komputer.
  13. Pastikan daya dikondisikan untuk mencegah kehilangan data.
  14. Pastikan system cadangan baterai menyediakan daya terus menerus selama pemadaman sementara
  15. Pastikan bahwa generator melindungi terhadap kehilangan daya yang berkepanjangan dan berada dalam kondisi kerja yang baik.
  16. Mengevaluasipenggunaan dan perlindungan sakelar power-off (EPO) darurat.
  17. Pastikan bahwa konstruksi bangunan pusat data dilengkapi fitur pemadaman kebakaran yang tepat.
  18. Pastikan personel pusat data dilatih dalam penanganan dan penyimpanan bahan berbahaya (hazmat) dan bahwa prosedur hazmat tepat. Tentukan juga apakah personel pusat data dilatih tentang cara merespons darurat kebakaran.
  19. Pastikan alat pemadam kebakaran ditempatkan secara strategis di seluruh pusat data dan di rawat dengan benar.
  20. Pasikan sistem pencegah kebakaran melindungi pusat data dari kebakaran.

Dasar pengetahuan
Beberapa sumber daya tambahan menawarkan informasi tentang pusat data dan control terkait. Sejumlah situs web yang baik memberikan informasi tentang potensi bahaya (seperti bahaya banjir) untuk wilayah geografis tertentu dan informasi umum tentang kegiatan darurat dan bencana:
  • hazards.fema.gov
  • msc.fema.gov
  • www.fema.gov
  • www.noaa.gov
  • gempa.usgs.gov

Pemulihan bencana adalah disiplin yang dalam. Sementara kami menyentuh praktik terbaik dan menyediakan prosedur audit tingkat tinggi, beberapa sumber daya dapatdigunakan oleh auditor untuk informasi tambahan, termasuk yang berikut:

Resource
Website
The Disaster Recovery Journal
www.drj.com
Disaster Recovery Institue International
www.drii.org
Disaster Recovery World
www.disasterrecoveryworld.com
ISACA
www.isaca.org


Diposting oleh di Tidak ada komentar:

Rabu, 09 Oktober 2019

AUDIT TEKNOLOGI SISTEM INFORMASI


TUGAS

AUDIT TEKNOLOGI SISTEM INFORMASI





Disusun oleh :

Elcy Monica
12116293
Hafizah Aulia
13116150
Markus Reynaldo S
14116271
Prillia Kartika E P
15116791
Yohanes Risco
17116784


Fakultas Ilmu Komputer & Teknologi Informasi
Universitas Gunadarma
2019


I.            Ruang Lingkup Audit Sistem Informasi
Ruang lingkup Audit Sistem Informasi (SI) sebagai audit operasional terhadap fungsi sistem informasi (IT governance), audit objective-nya adalah melakukan assessment terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi suatu organisasi. Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Misalnya, bahwa application software yang ada telah dianalisis dan didesain dengan baik, telah diimplementasikan dengan security features yang memadai.

Perlu dipahami bahwa audit SI tidak harus selalu merupakan penugasan lengkap mencakup seluruh aspek. Penugasan audit SI mungkin mencakup semua, tetapi bisa dengan beberapa variasi, atau beberapa aspek saja: suatu audit mungkin hanya menitikberatkan fokus pada satu aspek saja, atau beberapa aspek yang penting sesuai kebutuhan organisasi tersebut. Meskipun hakekatnya keseluruhan aspek IT Governance tersebut sesungguhnya penting untuk diaudit dalam rangka peningkatan mutu sistem, namun itu tidak bersifat harus (it is not mandatory). Bisa saja dilakukan penugasan-penugasan audit yang berbeda untuk satu atau beberapa aspek, tidak harus sekali “gebrak” (to do all of them in one assignment). Salah satu alasannya adalah memang kompetensi/keterampilan yang diperlukan bagi auditor untuk setiap aspek tersebut bisa berbeda. Oleh karena itu aspek sebetulnya ada keterkaitan, dan semuanya adalah penting, maka bila dilakukan audit secara terpisah-pisah, manajemen harus mendapat gambaran umum (overview) yang jelas dan terpadu (the overview is critical).

Jadi, terdapat berbagai jenis penugasan audit sistem informasi yang dapat dilaksanakan pada suatu organisasi, misalnya sebagai berikut:
·         Untuk mengidentifikasi sistem yang ada (inventory existing systems), baik yang ada pada tiap divisi/unit/departemen ataupun yang digunakan menyeluruh.
·         Untuk dapat lebih memahami seberapa besar sistem informasi mendukung kebutuhan strategis perusahaan, operasi perusahaan, mendukung kegaitan operasional departemen/unit/divisi, kelompok kerja, maupun para petugas dalam melaksanakan kegiatannya.
·         Untuk mengetahui pada bidang atau area mana, fungsi, kegiatan atau business processes yang didukung dengan sistem serta teknologi informasi yang ada.
·         Untuk menganalisis tingkat pentingnya data/informasi yang dihasilkan oleh sistem dalam rangka mendukung kebutuhan para pemakainya.
·         Untuk mengetahui keterkaitan antara data, sistem pengolahan dan transfer informasi.
·         Untuk mengidentifikasi apakah ada kesenjangan (gap) antara sistem dengan kebutuhan.
·         Untuk membuat peta (map) dari information flows yang ada.

II.         Jenis-Jenis Audit Sistem Informasi
Jenis-jenis Audit Sistem Informasi Audit sistem informasi dapat digolongkan dalam tipe atau jenis-jenis audit sebagai berikut:

a.       Audit Laporan Keuangan (Financial Statement Audit)
Adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi yang di audit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan data telah substantif.

b.      Audit Operasional (Operational Audit)
Audit terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:
1.      Post implementation Audit (Audit setelah implementasi)
Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasi Kan pada suatu organisasi /perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan. Pelaksanaan audit ini dilakukan oleh auditor dengan menerapkan pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang sudah diimplementasikan perlu dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai kebutuhan atau mengandung kesalahan.
2.      Concurrent audit (audit secara bersama)
Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.
3.      Concurrent Audits (audit secarabersama-sama)
Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik. Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan. Saat melakuan pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.

III.     Tujuan Audit Sistem Informasi
Tujuan audit sistem informasi menurut Ron Weber “1999:11-13” secara garis besar terbagi menjadi empat tahap yaitu:

1.      Pengamanan Aset
Aset informasi suatu perusahaan seperti perangkat keras “hardware”, perangkat lunak “software”, sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.
2.      Menjaga Integritas Data
Integritas data “data integrity” adalah salah satu konsep dasar sistem informasi. Data memiliki atribut-atribut tertentu seperti: kelengkapan, kebenaran dan keakuratan. Jika integritas data tidak terpelihara maka suatu perusahaan tidak akan lagi memiliki hasil atau laporan yang benar bahkan perusahaan dapat menderita kerugian.
3.      Efektifitas Sistem
Efektifitas sistem informasi perusahaan memiliki peranan penting dalam proses pengambilan keputusan, suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user.
4.      Efisiensi Sistem
Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memiliki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.
5.      Ekonomis
Ekonomis mencerminkan kalkulasi untuk rugi ekonomi “cost/benefit” yang lebih bersifat kuantifikasi nilai moneter “uang”. Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

IV.      Kerjasama Antar Auditor
A.    Hubungan Auditor Internal dan Auditor Eksternal
Ada beberapa hal yang terkait dengan audit eksternal dan audit internal. Di dalam hal ini ada beberapa poin yang membedakan antara audit eksternal dan audit internal. Perbedaan itu adalah dari sisi:
1.      Output atau keluaran, dimana output utama dari audit eksternal adalah opini sedangkan output utama dari audit internal adalah rekomendasi. Kemudian dari sisi
2.      Independensi, dimana audit eksternal harus independen terhadap manajemen sedangkan audit internal tidak independen terhadap manajemen namun harus independen terhadap aktivitas yang diaudit.
3.      Klien dari audit eksternal yang merupakan pemegang saham, komisaris dan pihak terkait diluar perusahaan sedangkan klien dari audit internal adalah manajemen sendiri.
4.      Pelaporan, dimana audit eksternal melaporkan hasil audit pada stakeholder perusahaan sedangkan audit internal melaporkan hasil audit pada direksi.

Pembahasan selanjutnya yang dibahas adalah tentang manfaat adanya audit internal bagi auditor eksternal yang berupa independensi atau obyektivitas yang lebih baik dibandingkan dengan manajemen langsung, pemahaman mendalam yang dimiliki oleh auditor internal atas kegiatan operasional perusahaan, dan juga kesamaan profesi yang dimiliki auditor eksternal dengan auditor internal sehingga akan memudahkan komunikasi diantara keduanya. Walaupun terdapat banyak kegunaan auditor internal bagi auditor eksternal, di dalam prakteknya belum tentu ada kerja sama yang erat diantara keduanya. Ada beberapa hal yang menentukan terjalinnya kerja sama yang padu antara auditor eksternal dan auditor internal:
1.      Tingkat pemahaman auditor eksternal atas status auditor internal
2.      Adanya peraturan dan standar yang mendasarinya. Di dalam standar audit di Indonesia kerja sama antara auditor eksternal dan auditor internal dimungkinkan dengan beberapa persyaratan berupa; kompetensi auditor internal, pemberian tujuan audit kepada auditor internal oleh auditor eksternal di awal proses audit, dan pelaporan langsung kepada auditor eksternal.
3.      Tingkat perbedaan cakupan kegiatan audit internal dengan cakupan audit eksternal.
4.      Obyektivitas auditor internal di mata auditor eksternal yang juga ditekankan oleh pembicara di bagian ini adalah pengujian ulang hasil audit internal oleh auditor eksternal serta upaya melibatkan audit internal di dalam review atas audit eksternal sebagai upaya menjembatani hubungan antara kedua auditor.

V.                Kesimpulan
Audit SI dimaksudkan untuk memberikan informasi kepada manajemen puncak agar manajemen mempunyai “a clear assessment” terhadap sistem informasi yang diimplementasikan pada organisasi tersebut. Audit SI juga memiliki beberapa tujuan seperti pengamana aset, menjaga integritas data, efektifitas sistem, efisiensi sistem, dan ekonomis.

VI.             Daftar Pustaka
      • Buku : Fitrawansyah, Fraud & Auditing, 2014
      • https://www.bp-creator.com/hubungan-auditor-internal-dan-auditor-eksternal/
      • https://www.dosenpendidikan.co.id/audit-sistem-informasi/



Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)