AUDIT TEKNOLOGI SISTEM INFORMASI
Fahrul
Reza
12117078
4KA07
BAB I
PENDAHULUAN
1.1 Latar Belakang
Audit TSI merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi di suatu perusahaan atau organisasi. Tetapi masih ada beberapa perusahaan yang belum menggunakan audit TSI untuk memeriksa kegiatan operasional di setiap divisi yang ada di perusahaan. Hal ini menyebabkan kegiatan operasional perusahaan tidak efektif karena setiap divisi belum mengikuti aturan yang ada di perusahaan. Maka diperlukan audit TSI yang tugasnya memeriksa setiap divisi yang ada di perusahaan agar mengikuti aturan dan sesuai prosedur perusahaan. Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.
Perencanaan meliputi beberapa aktivitas utama, yaitu:
- Penetapan ruang lingkup dan tujuan audit
- Pengorganisasian tim audit
- Pemahaman mengenai operasi bisnis klien
- Kaji ulang hasil audit sebelumnya
- Penyiapan program audit
1.2 Tujuan
1. Memahami definisi audit TSI.
2. Memahami jenis-jenis audit dan ruang lingkup audit TSI.
3. Memahami jenis-jenis control dan audit teknologi system informasi.
BAB 2
PEMBAHASAN
2.1 Pengertian AUDIT TSI
Menurut Chris Davis Audit TSI adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Weber mengemukakan bahwa audit sistem informasi merupakan proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset dan teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan pada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif dan efisien.
2.2 Jenis-Jenis Audit dan Ruang Lingkup Audit TSI
2.2.1 Audit Internal
Tujuan dan cakupan audit TI, dan prosedur yang digunakan untuk melaksanakannya, berbeda secara signifikan untuk audit internal dibandingkan dengan audit eksternal. Institut untuk Auditor Internal mencakup definisi formal audit internal sebagai bagian dari Kerangka Kerja Praktek Profesional Internasional (IPPF): "Audit internal adalah independen, assurance objektif dan kegiatan konsultasi yang dirancang untuk menambah nilai dan memperbaiki operasi organisasi Ini membantu organisasi mencapai tujuannya dengan membawa pendekatan sistematis dan disiplin untuk mengevaluasi dan memperbaiki efektivitas proses manajemen, pengendalian, dan tata kelola risiko”.
Perbedaan antara audit internal dan eksternal jauh melampaui organisasi dan auditor mereka yang bertanggung jawab untuk melakukan audit. Audit internal mencerminkan kebijakan dan program organisasi perspektif tentang apa yang harus di audit dan bagaimana berbagai jenis audit dilakukan, seperti serta pengetahuan materi pelajaran yang berlaku untuk setiap organisasi dan jenisnya Audit TI itu kinerjanya. Standar dan praktik audit yang ditetapkan secara garis besar seperti Standar Audit yang Diterima Umum (GAAS) dan Standar Internasional pada PT Auditing (ISA) seperti yang bisa diterapkan pada audit TI karena keuangan atau audit operasional yang lebih umum.
Audit internal sebagai kemampuan organisasi Baik praktik audit internal eksternal maupun internal bergantung pada prosedur yang ditetapkan secara formal dilaksanakan oleh auditor yang cakap dengan pengetahuan dan domain organisasi yang memadai keahlian untuk secara efektif melaksanakan berbagai jenis audit sebuah organisasi kebutuhan.
2.2.2 Audit Eksternal
Dua karakteristik utama membedakan audit eksternal dari audit internal, dilakukan oleh auditor luar dan perusahaan audit dan standarnya, persyaratan, atau kriteria audit lainnya. Beberapa badan standar dan asosiasi profesional selanjutnya membagi audit eksternal ke audit pihak kedua dan pihak ketiga, yang pertama dilakukan oleh pelanggan atau pemasok atau pihak lain dengan kepentingan operasi organisasi subjek dan yang terakhir dilakukan oleh organisasi independen dengan tidak ada kepentingan langsung dalam organisasi yang menjalani audit. Yang paling menonjol ini adalah serangkaian alasan yang lebih terbatas karena organisasi menjalani audit TI eksternal, termasuk kepatuhan hukum dan peraturan, sertifikasi, penjaminan mutu, atau verifikasi dari informasi yang dilaporkan sendiri atau dibuktikan oleh organisasi untuk berbagai hal tujuan.
Sifat partisipasi organisasi dalam audit TI eksternal juga cukup berbeda dengan audit internal, sebagai tanggung jawab utama organisasi dan personilnya yang bekerja di daerah yang terkena audit eksternal adalah memfasilitasi pekerjaan dari auditor eksternal dan mendukung penyelesaian yang akurat dan efisien audit. Proses audit, prosedur, dan metodologi yang digunakan oleh auditor eksternal juga biasanya diketahui subjek audit dan mungkin merupakan faktor dalam pemilihan audit dimana organisasi memiliki pilihan untuk memilih eksternal mereka auditor.
2.2.3 Auditor Internal
Internal IT auditor sering memiliki pekerjaan awal yang substansial dalam teknologi informasi, baik itu pengalaman mencakup pengetahuan TI yang luas yang mencakup beberapa domain atau bidang keahlian yang lebih khusus. Pengetahuan khusus TI diperlukan untuk memahami TI kriteria audit dan dapat membandingkannya dengan implementasi, konfigurasi, dan rincian operasi dan pemeliharaan sistem dan teknologi IT. Tambahan Keterampilan TI mungkin diperlukan untuk benar menjalankan prosedur pengujian atau menerapkan pemeriksaan metodologi yang digunakan dalam berbagai jenis audit TI. Topik pokok bahasan dengan mana auditor internal TI harus familiar meliputi:
• Domain bisnis dan proses terkait yang didukung oleh sistem TI;
• Tata kelola data, proses pengelolaan data, backup data dan restorasi, dan teknologi penyimpanan;
• Kebijakan dan prosedur TI;
• Proses operasi dan pemeliharaan;
• Proses dan proses siklus hidup pengembangan sistem;
• Arsitektur aplikasi, sistem, dan keamanan; • sistem operasi komputer;
• Tata kelola dan proses pengelolaan dan pengelolaan sumber daya manusia;
• Tipe dan penerapan pengendalian internal;
• Manajemen proses TI atau model manajemen keamanan; dan
• Standar dan kriteria sertifikasi yang terkait dengan TI.
Keterampilan audit TI seringkali dapat dikembangkan di tempat kerja, terutama di organisasi dengan program audit internal yang memiliki sumber daya yang cukup untuk menugaskan tim auditor dengan berbagai tingkatan pengalaman untuk tugas audit tertentu. Salah satu tantangan bagi personil audit TI adalah sebanyak itu pedoman yang tersedia mengenai standar, prinsip, dan praktik audit mencakup audit internal secara keseluruhan tanpa mempertimbangkan pertimbangan yang spesifik untuk audit TI.
Organisasi tanpa sumber internal yang memadai untuk mengaudit audit internal mereka program mungkin akan lebih praktis untuk melibatkan penggunaan kontraktor dari luar merekrut, mempekerjakan, atau melatih karyawan mereka sendiri.
2.2.4 Auditor Eksternal
Audit IT eksternal dilakukan oleh auditor dan entitas luar subjek organisasi. Tergantung pada ukuran organisasi dan ruang lingkup dan kompleksitas audit TI, audit eksternal dapat dilakukan oleh auditor tunggal atau tim. Secara umum, hubungan antara organisasi dan auditor eksternal biasanya didirikan dan dikelola di entitas tingkat yaitu, organisasi menggunakan jasa perusahaan luar atau organisasi profesional yang melakukan jenis IT audit yang diperlukan. Secara khusus, perusahaan terdaftar dan karyawan mereka terlibat untuk melakukan audit dari suatu organisasi tidak dapat memberikan layanan nonaudit untuk organisasi yang seperti akuntansi, desain dan implementasi sistem keuangan, jasa aktuaria, audit internal outsourcing, fungsi manajemen, perbankan investasi atau menasihati, hukum atau jasa ahli, atau kegiatan lain yang menentukan PCAOB tidak dapat dilakukan pada waktu yang sama dengan layanan audit eksternal. Dalam banyak organisasi tidak jarang untuk mempertahankan auditor eksternal yang sama selama bertahun-tahun, sehingga peraturan yang diadopsi oleh UU SEC setelah Sarbanes-Oxley diberlakukan yang diperlukan perusahaan audit eksternal untuk memutar personil timbal ( "mitra audit") setidaknya setiap lima tahun , pengurangan dari maksimal tujuh tahun sebelum Undang-Undang (peraturan Masyarakat Eropa sama membutuhkan rotasi partner audit setiap tujuh tahun).
Sementara perusahaan yang menyediakan jasa audit eksternal tunduk organizationlevel peraturan dan pengawasan, auditor individu melakukan audit eksternal biasanya harus menunjukkan pengetahuan yang memadai dan keahlian dan kualifikasi yang sesuai. sertifikasi profesional menyediakan satu indikator kualifikasi auditor, terutama di mana sertifikasi tertentu sesuai dengan jenis audit eksternal yang dilakukan. Banyak sertifikasi tersedia untuk profesional audit memiliki pendidikan dan pengalaman kerja sebelumnya substansial persyaratan yang lebih tinggi selain demonstrasi keahlian subjek melalui ujian formal. Kedua perusahaan audit dan organisasi yang terlibat perusahaan tersebut untuk melakukan tempat audit eksternal nilai tinggi pada personil bersertifikat untuk membantu memastikan kompetensi yang memadai, integritas, dan domain-spesifik pengalaman.
2.3 Jenis Jenis Kontrol Audit TSI
2.3.1 Kontrol Internal
Kontrol Internal, dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko-risiko tersebut. Internal Control memiliki beberapa tipe, yaitu :
1. Kontrol Preventif.
Kontrol pencegahan menghentikan peristiwa buruk terjadi. Misalnya, membutuhkan ID pengguna dan kata sandi untuk akses ke sistem adalah kontrol pencegahan.
2. Kontrol Detektif.
Kontrol detektif merekam peristiwa buruk setelah itu terjadi. Misalnya, mencatat semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda meninjau log untuk mencari aktivitas yang tidak sesuai dengan aturan setelah acara.
3. Kontrol Reaktif.
Kontrol reaktif berada di antara kontrol pencegahan dan detektif. Mereka tidak mencegah peristiwa buruk terjadi, tetapi mereka menyediakan cara sistematis untuk mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki situasi, itulah sebabnya mengapa mereka kadang-kadang disebut kontrol korektif.
2.3.2 Contoh Kontrol Internal
Berikut ini adalah beberapa contoh dasar yang dimaksudkan untuk menggambarkan konsep pengendalian internal.
1. Kontol Perubahan Software
Jika perubahan pada kode sistem itu sendiri tidak disetujui dan diuji dengan benar, Anda mungkin menemukan bahwa logika yang dijalankan oleh kode itu salah. Ini mungkin berarti Anda kehilangan kepercayaan pada integritas data di dalam sistem, sehingga tidak tahu pasti siapa yang telah membayar perusahaan Anda dan siapa yang tidak.
2. Kontrol Akses
Jika akses ke sistem diberikan kepada orang yang tidak memiliki kebutuhan untuk akses itu, data sistem dapat diubah, ditambahkan, atau dihapus secara tidak tepat.
3. Backup and Disaster-Recovery Plans
Jika sistem atau datanya hilang, fungsionalitas sistem tidak akan tersedia, yang mengakibatkan hilangnya kemampuan Anda untuk melacak piutang luar biasa atau mengirim pembayaran baru.
2.4 Jenis Jenis Audit TSI
2.4.1 Audit Laporan Keuangan
Audit laporan keuangan (Financial Statement Audit) merupakan audit yang dijalnkan untuk mencari tahu tingkat kewajaran laporan keuangan yang disajikan perusahaan. Apabila sistem akuntasi organisasi yang diaudit adalah sistem akuntasi berbasis komputer maka audit dilaksanakan pada sistem informasi akuntansi, apakah prosss atau mekanisme sistem dan program komputer sudah selsai, pengendalian umum sistem memadai dan data yang telah substansif.
2.4.2 Audit Terprogram
Jenis audit keuangan lain berbeda dengan prosedur yang digunakan dalam audit yang didorong oleh Persyaratan peraturan adalah pemeriksaan informasi keuangan program atau proyek. Audit keuangan tingkat program biasanya berfokus pada membandingkan usulan atau pengeluaran yang dianggarkan sampai waktu aktual, personil, material, dan biaya sumber daya lainnya. Organisasi mengadopsi pendekatan manajemen program seperti Proyek Management Institute's (PMI), Badan Manajemen Proyek Pengetahuan (PMBOK), atau mengikuti standar untuk manajemen nilai yang diterima (EVM) dengan ketat mengikuti program jadwal dan biaya informasi. Audit terhadap program yang dikelola dengan cara ini memeriksa-antara metrik kinerja lainnya-biaya aktual yang terjadi dibandingkan dengan yang direncanakan atau nilai yang dianggarkan dan mempertimbangkan keluaran program dalam hal sumber daya yang dialokasikan memproduksi mereka Mengaktifkan bentuk manajemen program ini memerlukan akuntansi sistem yang mampu merekam dan melacak aktivitas program, berhubungan langsung dan biaya tidak langsung, dan ukuran kinerja [3]. Elemen program terkait TI. Oleh karena itu audit mencakup teknologi yang mendukung perhitungan biaya program terperinci dan mendapatkan nilai analisis Jenis audit ini menekankan kinerja biaya dan jadwal dan dalam hal ini berbeda dengan audit operasional atau TI-spesifik yang fokus tentang pelaksanaan tugas program atau manajemen proyek secara efektif.
2.4.3 Audit Operasional
Audit operasional memeriksa praktik manajemen dan proses dan prosedur operasional untuk menentukan bagaimana organisasi yang efektif atau efisien dapat memenuhi kebutuhan mereka tujuan. Analisis semacam itu mengasumsikan bahwa organisasi telah secara eksplisit menyatakan bisnisnya tujuan, telah mengembangkan inventarisasi proses bisnis dan dukungan.
Ada tiga jenis audit operasional (Operational Audit), antara lain:
- Post Implementation Audit
Pelaksanaan post implementasi audit atau audi setelah implementasi ini dijalnakan oleh auditor dengan penerapan, pengalamannya dalam pengembangan sistem aplikasi, sehingga auditor dapat mengevaluasi apakah sistem yang diimplementasikan harus dimutakhirkan atau diperbaiki atau bahkan dihentikan apabila sudah tidak sesuai dengan keperluan atua mengandung kesalahan - Conccurrent Audit (Audit Bersama)
Audit menjadi tim pengembang sistem, auditor membantu tim untuk melakukan peningkatan kualitas dikembangkannya sistem yang dibangun oleh analisis, desingner dan programmer dan akan diterapkan. - Concurrent Audits (Audit Secara Bersama-sama)
Auditor melakukan evaluasi kinerja unit fungsional atau fungsi sistem informasi apakah telah dikelola dengan baik, apakah kontrol berkembangnya sistem secara menyeluruh sudah dijalankan dengan baik, apakah sistem kompute rsudah dikelola dan dioperasikan dengan baik.
2.4.4 Audit Sertifikasi
Sertifikasi audit adalah evaluasi formal terhadap satu atau lebih aspek kemampuan operasional organisasi terhadap persyaratan eksplisit yang terkait dengan standar atau metodologi yang ditetapkan secara eksternal. Pencapaian sertifikasi memberikan dukungan eksternal bahwa sebuah organisasi memenuhi kriteria yang ditentukan untuk standar tertentu. Berhasil mencapai sertifikasi bukanlah indikasi bahwa sebuah organisasi berkinerja secara optimal atau dengan cara yang lebih unggul dari organisasi lain; Sebagai gantinya, sertifikasi merupakan bentuk jaminan independen bahwa sebuah organisasi memenuhi setidaknya seperangkat persyaratan minimum. Sebagian besar sertifikasi harus diberikan oleh badan sertifikasi yang berwenang di luar organisasi yang mencari sertifikasi, yang berarti audit sertifikasi biasanya dilakukan oleh auditor eksternal. Tanggung jawab organisasi untuk mencapai sertifikasi (dan mempertahankannya setelah dicapai) termasuk membuat keputusan manajemen untuk mengejar sertifikasi dan untuk melakukan sumber daya internal yang diperlukan agar organisasi menyesuaikan diri dengan kriteria sertifikasi dan untuk menjaga kesesuaian secara berkelanjutan. Organisasi juga harus mengidentifikasi, memilih, dan membayar layanan dari badan sertifikasi yang berwenang yang melakukan audit sertifikasi. Tanggung jawab untuk mengesahkan perusahaan audit eksternal untuk melakukan jenis audit sertifikasi tertentu biasanya dimiliki oleh badan akreditasi nasional daripada organisasi pengembangan standar.
2.4.5 Audit Kepatuhan
Audit kepatuhan terdiri dari serangkaian pemeriksaan eksternal dan internal yang dilakukan secara eksternal terhadap pemenuhan persyaratan hukum, peraturan perundangundangan, standar industri, persyaratan perizinan, komitmen kontrak, atau kewajiban formal lainnya. Audit kepatuhan ditumpuk secara konseptual dengan audit keuangan, operasional, dan sertifikasi dalam arti bahwa jenis audit tersebut sering menangani standar, praktik, atau ketentuan hukum yang merupakan persyaratan wajib bagi organisasi. Sebagai kategori, audit kepatuhan berlaku lebih luas daripada jenis lain dalam hal siapa yang melakukan audit semacam itu, tujuan untuk melakukan audit kepatuhan, dan elemen organisasi atau bidang studi yang menyediakan ruang lingkup audit. Standar dan metodologi yang digunakan dalam audit kepatuhan bervariasi sesuai dengan konteks audit dan organisasi atau badan hukum yang memiliki tanggung jawab untuk memverifikasi kepatuhan. Persyaratan organisasi yang mendasari audit kepatuhan berasal dari berbagai sumber eksternal, selain kebijakan internal dan tujuan tata kelola. Audit kepatuhan yang dilakukan secara ad hoc atau satu kali daripada sebagai proses rutin atau berulang terkadang dapat mengidentifikasi kekurangan serius atau masalah sistemik dalam sebuah organisasi.
2.4.6 Audit Khusus Untuk IT
Audit TI memiliki peran penting dalam masing-masing tipe audit yang dijelaskan sejauh ini di bab ini, namun ada audit tambahan yang berfokus secara eksplisit pada berbagai aspek TI. Banyak audit TI dimaksudkan untuk mencapai hasil yang serupa dengan yang diantisipasi dari jenis audit lainnya, termasuk menunjukkan kepatuhan atau pencapaian sertifikasi terhadap standar tertentu. Bab 6 memberikan rincian terperinci komponen teknis dan elemen organisasi yang sering ditangani melalui audit TI, sementara Bab 2 menetapkan konteks organisasi yang lebih luas untuk berbagai jenis audit TI.
DAFTAR PUSTAKA
Gondodiyoto, S. 2007. Audit Sistem Informasi. Jakarta: Mitra Wacana Media
Hermawan, Budi. 2011. Dasar-Dasar Audit dan Pengendalian TI. http://www.auditti.com/stikom. Diakses pada tanggal 1 Desember 2011.
Information Technology Governance Institute. 2003. IT Governance Implementation Guide: “How do I use COBIT to implement IT governance?”.
Information Technology Governance Institute. 2007. COBIT 4.10: Control Objective, Management Guidelines, Maturity Models. United States of America: IT Governance Institute.
Indra Oktamara. 2018. Audit TSI. Wordpress
https://indraoktamara.wordpress.com/2018/01/05/audit-tsi/
Tidak ada komentar:
Posting Komentar