Monday, October 23, 2017

AUDIT SISTEM INFORMASI

1.      Konsep Audit

Audit dan kontrol teknologi informasi menjadi penting karena organisasi membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. IT Audit dan Kontrol menjelaskan sebuah proses untuk mereview dan memposisikan IT sebagai instrument penting dalam pencapaian usaha/bisnis korporasi. Audit IT dan control melakukan proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain juga menunjukkan jenjang professional tertentu dalam professional, juga membuat seseorang akan menganalisa, merancang, membangun, mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan TIK tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar internasional.
Penerapan IT audit sendiri dibentuk pada pertengahan 1960-an dan sejak saat itu telah berubah spesifikasi nya berkali-kali karena perkembangan pesat teknologi dan penggabungan ke dalam bisnis. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam infrastruktur TI. Praktek Audit menjamin kelangsungan bisnis dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan tindakan perlindungan untuk melindungi 36 aset IT.

2.      Proses Audit
Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:
a)      Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
b)      Tetapkan langkah-langkah audit yang rinci
c)      Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
d)     Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
e)      Telaah apakah tujuan audit tercapai
f)       Sampaikan laporan kepada pihak yang berkepentingan
g)      Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.

Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:
a)      Audit subject
b)      Audit objective
c)      Audit Scope
d)     Preaudit planning
e)      Audit procedures and Steps for data gathering
f)       Evaluasi hasil pengujian dan pemeriksaan
g)      Audit report preparation

Berikut struktur isi laporan audit secara umumnya(tidak baku):
a)      Pendahuluan
b)      Kesimpulan umum auditor
c)      Hasil audit
d)     Rekomendasi
e)      Exit interview

3.      Teknik Audit

Menurut Davis, Schiller dan Wheeler (2011) tahap melakukan audit TI adalah :

  1. Tinjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi TI menyediakan untuk tugas wewenang dan tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.
  2. Meninjau proses perencanaan strategis TI untuk memastikan bahwa itu sejalan dengan strategi bisnis. Mengevaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.
  3. Menentukan apakah teknologi dan aplikasi strategi dan roadmap ada, dan mengevaluasi proses perencanaan teknis jangka panjang.
  4. Tinjau indikator kinerja dan pengukuran untuk IT. Memastikan bahwa proses dan metrik pada tempatnya (dan disetujui oleh para pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk pelacakan kinerja terhadap SLA, anggaran, dan persyaratan operasional lainnya.
  5. Evaluasi standar untuk mengatur pelaksanaan proyek IT dan untuk memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI. Menentukan bagaimana standar tersebut dikomunikasikan dan ditegakkan.
  6. Pastikan bahwa kebijakan keamanan TI ada dan memberikan persyaratan yang memadai untuk keamanan lingkungan. Tentukan bagaimana kebijakan tersebut dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.
  7. Meninjau dan mengevaluasi proses penilaian risiko di tempat bagi organisasi TI.
  8. Tinjau dan evaluasi proses untuk memastikan bahwa karyawan IT di perusahaan memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan mereka.
  9. Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengelompokkan data, melindungi data sesuai dengan klasifikasinya, dan mendefinisikan life cycle data.
  10. Tinjau dan evaluasi proses untuk memastikan bahwa end user lingkungan TI memiliki kemampuan untuk melaporkan masalah, secara tepat terlibat dalam keputusan TI, dan puas dengan layanan yang diberikan oleh TI.
  11. Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan dengan jelas dan pemantauan kinerja mereka.
  12. Meninjau dan mengevaluasi proses untuk mengontrol akses login non karyawan.
  13. Meninjau dan mengevaluasi proses untuk memastikan bahwa perusahaan telah memenuhi lisensi perangkat lunak yang berlaku.

4.      Regulasi Audit

Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :
1)      Tahapan Pengidentifikasian
Objek yang Diaudit Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.

2)      Tahapan Evaluasi audit Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.

5.      Standar & Kerangka Kerja Audit

Standar Audit Sistem Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII Tahun 2006  pada tanggal 25 Februari 2006 bertempat di Jakarta. SASI IASII berlaku bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai  berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan sebelum tanggal tersebut. Adapun  beberapa aturan yang standarisasikan, antara lain:
1). Penugasan Audit, mencakup:
(a). Tanggung Jawab
(b). Wewenang dan
(c). Akuntabilitas
2). Independensi & Obyektifitas
3). Profesionalisme & Kompetensi
4). Perencanaan
5).Pelaksanaan, yang mencakup:
 (a). Pengawasan
 (b). Bukti-bukti Audit
 (c). Kertas KerjaAudit
6).Pelaporan
7). Tindak Lanjut
Kerangka Kerja Audit Sistem Informasi dapat diuraikan dalam  beberapa tahapan berdasarkan kerangka pikir manajemen, teknologi informasi dan pertimbangan sistem ahli yang semuanya mengacu pada kerangka kerja menghasilkan laporan audit sistem informasi.

6.      Manajemen Resiko

Manajemen risiko adalah sebuah proses yang diaplikasikan dalam perumusan strategi dan dirancang untuk mengidentifikasi kejadian potensial yang mungkin akan berdampak pada keseluruhan organisasi, dan pengelolaan risiko. Kategori sasaran dalam manajemen risiko : 
·         Strategis : tujuan tingkat tinggi, selaras dengan dan mendukung misi
·         Operasional : penggunaan sumberdaya secara efektif dan efisien
·         Pelaporan : keandalan pelaporan
·         Pemenuhan : pemenuhan hukum dan peraturan yang berlaku

FALSAFAH COSO

Bagi COSO, pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan auditor internal korporasi, sehingga auditor internal harus paham proses dan sarana untuk identifikasi, penilaian, pengukuran dan penetapan tingkat risiko (risk assessment) sebagai dasar menyusun prosedur audit internal. COSO menyatakan bahwa setiap entitas menghadapi risiko internal dari luar, bahwa risiko-risiko tersebut harus didentifikasi dan dinilai-diukur terfokus pada pengamanan sasaran strategis korporasi.Perubahan sosial-politik-ekonomi-industri-hukum dan perubahan kondisi operasional perusahaan teraudit mengandung risiko, manajemen perusahaan harus membentuk mekanisme untuk mengenali & menghadapi perubahan tersebut. Basis utama manajemen risiko adalah asesmen risiko. Untuk keberlangsungan usaha, asesmen risiko merupakan tanggungjawab manajemen yang bersifat integral dan terus menerus, karena manajemen tak dapat memformulasikan sasaran dengan asumsi sasaran akan tercapai tanpa risiko atau hambatan.
Contoh risiko, bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah :

  • Pesaing meluncurkan produk baru
  • Perubahan teknologi menyebabkan jasa atau produk tidak laku
  • Manajer andalan tiba-tiba mengundurkan diri sebagai karyawan
  • Formula rahasia dicuri dan dijual oleh karyawan kepada pesaing
  • KKN menggerus laba dan membuat perusahaan keropos
Posted by at No comments:
Subscribe to: Posts (Atom)