Uncategories Mengenai Audit Sistem Informasi ( Konsep, Metode, Standar dll )

Mengenai Audit Sistem Informasi ( Konsep, Metode, Standar dll )

10:02:00 PM
KONSEP AUDIT TSI.



Asosiasi akuntansi Amerika mendefinisikan auditing sebagai berikut : 

Auditing adalah sebuah proses sistemeatis untuk secara obyektif mendapatkan dan mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan

Auditing membutuhkan pendekatan langkah per langkah yang dibentuk dengan perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hatihati. Keterlibatan audit yaitu mengumpulkan, meninjau, dan mendokumentasikan bukti audit.

Terdapat tiga jenis audit yang biasanya dilakukan, yaitu : 1 Audit keuangan 2 Audit sistem informasi 3 Audit operasional atau manajemen

Audit sistem informasi melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya dengan kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga aset perusahaan.

Dengan kata lain Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk membuktikan dan menentukan apakah sistem aplikasi komputerisasi yang digunakan telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, apakah aset organisasi sudah dilindungi dengan baik dan tidak disalah gunakan, apakah  mampu menjaga integritas data, kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.

4 (empat) tujuan audit sistem informasi, yaitu :
  1. Mengamankan asset
  2. Menjaga integritas data
  3. Menjaga efektivitas sistem
  4. Mencapai efisiensi sumberdaya.

METODE DAN ALAT TSI.

Seluruh audit menggunakan urutan kegiatan yang hampir sama, hingga dapat dibagi ke dalam empat langkah:
  1. Merencanakan audit 
  2. Mengumpulkan bukti audit 
  3. Mengevaluasi bukti audit 
  4. Mengkomunikasikan hasil audit

Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi :
  1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
  2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen. 
  3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen. 
  4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
  5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan. 
  6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya. 
Menurut Weber (1999, p.55-57), metode audit meliputi:

1. Auditing around the computer

Merupakan suatu pendekatan audit dengan memperlakukan komputer sebagai black box, maksudnya metode ini tidak menguji langkah-langkah proses secara langsung, tetapi hanya berfokus pada masukan dan keluaran dari sistem komputer.

Kelemahan dari pendekatan ini jika lingkungan berubah, maka kemungkinan sistem itu berubah dan perlu penyesuaian sistem, sehingga auditor tidak dapat menilai apakah sistem masih berjalan dengan baik.

Keunggulan dari pendekatan ini adalah pelaksanaan audit lebih sederhana, dan bagi auditor yang memiliki pengetahuan yang minim di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.

2. Auditing through the computer

Merupakan suatu pendekatan audit yang berorientasi pada komputer dengan membuka black-box, dan secara langsung berfokus pada operasi pemrosesan dalam sistem komputer.

Keuntungan utama dari pendekatan ini adalah dapat meningkatkan kekuatan terhadap pengujian sistem aplikasi secara efektif, dimana ruang lingkup dan kemampuan pengujian yang dilakukan dapat diperluas sehingga tingkat kepercayaan terhadap kehandalan dari pengumpulan dan pengevaluasian bukti dapat ditingkatkan.

Kelemahan pendekatan audit ini diantaranya biaya yang dibutuhkan relatif tinggi serta membutuhkan keahlian dari sisi tehnik secara mendalam.

3. Auditing with the computer

Merupakan suatu pendekatan audit dengan menggunakan komputer sendiri (audit software) untuk membantu melaksanakan langkah-langkah audit. Auditing sistem informasi berdasarkan komputer terdiri dari penggunaan komputer itu sendiri, teknik auditing dengan metode ini sangat berguna selama pengujian substantif atas file dan record suatu perusahaan. Sebaliknya, teknik auditing melalui komputer adalah teknik yang membantu dalam pengujian ketaatan.


REGULASI AUDIT TSI.

Regulasi mengenai audit TSI diatur dalam Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia, seperti contohnya :

  • Rancangan Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia Tentang Pedoman Umum Audit  Sistem Elektronik Penyelenggara Pelayanan Publik
  • Peraturan Menteri Komunikasi Dan Informatika Republik Indonesia Tahun 2015 Tentang Pedoman Teknis Audit Manajemen Keamanan Sistem Elektronik Pada Penyelenggara Pelayanan Publik

STANDAR AUDIT SISTEM INFORMASI
Standar Audit SI tidak lepas dari standar professional seorang auditor SI

Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan

Berbagai macam Standard Audit SI :
  • ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals
  • IIA : International Professional Practices Framework / IPPF
  • IASII : Standar Audit Sistem Informasi
  • BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
  • BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi
Standard Audit Sistem Informasi Menurut ISACA (Information System Audit And Control Association) :

S1 Audit Charter
  • Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem informasi harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis.
  • Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.
S2 Independence
  • Professional Independence, dalam semua permasalahan yang berhubungan dengan audit, auditor sistem informasi harus independen terhadap auditee baik dalam sikap maupun penampilan.
  • Organisational Independence, fungsi audit sistem informasi harus independen tehadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan.
S3 Professional Ethics and Standards
  • Auditor  sistem informasi harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.
  • Auditor sistem informasi harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakai dalam melakukan tugas audit
S4 Professional Competence
  • Auditor sistem informasi harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
  • Auditor sistem informasi harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.
S5 Planning
Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.

S6 Performance of Audit Work
Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.
Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi.

S7 Reporting
Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.
Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.
Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.


MANAJEMEN RESIKO

1.      Pengertian :
Manajemen risiko terdiri dari dua kata berbeda. Seperti yang kita tahu manajemen secara umum berarti mengorganisir. Sedangkan dalam KBBI kata risiko berarti : akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan. Dalam bisnis sendiri, risiko berkaitan dengan hasil aktual yang tidak sesuai dengan hasil harapan. Jadi manajemen risiko adalah proses identifikasi, analisis, penilaian, pengendalian, dan penghindaran, minimalisasi, atau penghapusan risiko yang tidak dapat diterima.

2.      Cara Melakukan Manajemen Risiko dengan Efektif
kerangka yang berkaitan dalam Manajemen Risiko Korporasi (MRK) yaitu:
-      Lingkungan internal (internal environment)
-      Penentuan sasaran (objective setting)
-      Identifikasi peristiwa (event identification)
-      Penilaian risiko (risk assessment)
-      Tanggapan risiko (risk response)
-      Aktivitas pengendalian (control activities)
-      Informasi dan komunikasi (information and communication)

-      Pemantauan (monitoring)
Next
« Prev Post
Previous
Next Post »
Subscribe to: Post Comments (Atom)