Menurut
Chris Davis Information system (IS) audit adalah bentuk pengawasan
dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh.
Weber mengemukakan bahwa audit sistem informasi merupakan proses pengumpulan
dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi
dapat melindungi aset dan teknologi informasi yang ada telah memelihara
integritas data sehingga keduanya dapat diarahkan pada pencapaian tujuan bisnis
secara efektif dengan menggunakan sumber daya secara efektif dan efisien.
“Audit
sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk
menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas
data, dapat mendorong pencapaian tujuan organisasi secara efektif dan
menggunakan sumberdaya secara efisien”. Ron Weber (1999,10)
Audit SI berbasis teknologi informasi dapat digolongkan dalam tipe
atau jenis-jenis pemeriksaan:
·
Audit laporan keuangan (general
audit on financial) dalam hal ini audit terhadap
aspek-aspek teknologi informasi pada suatu sistem informasi. akuntansi berbasis
teknologi informasi adalah dilaksanakan dalam rangka audit keuangan.
·
Audit sistem informasi (SI)
sebagai kegiatan tersendiri, terpisah dari pada keuangan. Sebetulnya audit SI
pada hakekatnya salah satu dari bentuk audit operasional, tetapi kini lebih
dikenal sebagai satu satuan jenis audit tersendiri yang tujuan utamanya lebih
untuk meningkatkan IT governance.
Tujuan Audit Sistem Informasi
Tujuan dari audit sistem
informasi adalah untuk mengetahui apakah pengelolaan system dan teknologi
informasi telah mencapai tujuan strategisnya. Berikut adalah beberapa tujuan
strategisnya :
1.
Meningkatkan perlindungan terhadap
asset-aset (Asset safeguard)
2. Menjaga
integritas data (Data integrity)
3. Meningkatkan
efektifitas system (Effectivity)
4.
Meningkatkan efisiensi (Efficiency)
Tujuan Audit Sistem Informasi menurut Ron Weber yaitu:
1. Meningkatkan keamanan aset-aset
perusahaan.
2. Meningkatkan data dan menjaga
integritasi data.
3. Meningkatkan efektifitas system
4. Meningkatkan efisiensi system
5. Ekonomis
Tujuan audit sistem
informasi secara teknis yaitu:
·
Evaluasi
atas kesesuaian antara rencana strategis dengan rencana tahunan
organisasi,rencana tahunan dan rencana proyek.
·
Evaluasi
atas kelayakan struktur organisasi yaitu termasuk pemisahan fungsi dan
kelayakan pelimpahan wewennang dan otoritas.
·
Evaluasi
atas pengelolahan personil yaitu termasuk perencanaan kebutuhan, rekrutmen dan
seleksi, pelatihan dan pendidikan, promosi,mutasi, serta terminasi personil.
·
Evaluasi
atas pengembangan yaitu termasuk analisis kebutuhan, perancangan, pengembangan,
pengujian, implementasi, migrasi, pelatihan dan dokumentasi, serta manajemen
perubahan.
·
Evaluasi
atas kegiatan operasional yaitu termasuk pengelolaan keamanan dan kenerja
pengelolaan pusat data, pengelolaan keamanan dan kenerja jaringan data,
pengelolaan masalah dan insiden serta dukungan pengguna.
·
Evaluasi
atas kontinuitas layanan yaitu termasuk pengelolaan backup dan recovery,
pengelolaan prosedure darurat, pengelolaan rencana pemulihan layanan, serta
pengujian rencana kontijensi operasional.
·
Evaluasi
atas kualitas pengendalian aplikasi yaitu termasuk pengendalian input,
pengendalian proses dan pengendalian output.
·
Evaluasi
atas kualitas data/informasi yaitu termasuk pengujian atas kelengkapan dan
akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.
Dua aspek
utama tujuan audit sistem informasi yaitu:
·
Conformance
(Kesesuaian) Yaitu
audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek
kesesuaian seperti kerahasiaan, Integritas, Ketersediaan, Kepatuhan.
·
Performance
(Kinerja) Yaitu
audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek
kenerja seperti Efektifitas, Efisiensi, Kehandalan.
Faktor-faktor
yang mendorong pentingnya kontrol dan audit SI adalah antara lain untuk:
a.
Mendeteksi
agar komputer tidak dikelola secara kurang terarah
b. Mendeteksi resiko pengambilan
keputusan yang salah akibat informasi hasil proses sistem komputerisasi
salah/lambat/tidak lengkap
c. Menjaga aset perusahaan karena
nilai hardware, software dan dan personil lazimnya tinggi
d. Mendeteksi resiko error computer
e. Mendeteksi resiko
penyalahgunaan komputer (fraud)
f. Menjaga kerahasiaan
g. Meningkatkan pengendalian
evolusi penggunaan komputer
Proses audit menurut Chris Davis :
1.
Planning/rencana, tujuan dari proses perencanaan
adalah untuk menentukan objek-objek dan kesempatan dalam audit. Bagian
dari proses ini adalah kamu harus mengembangkan rangkaian langkah-langkah agar
dapat dieksekusi sehingga tujuan dari audit tersebut tercapai. Proses
perencanaan akan memerlukan penelitian, gagasan dan berbagai pertimbangan dari
masing-masing audit
2. Kerja lapangan
dan dokumentasi, sebagian besar audit pada bagian ini, yaitu ketika selama pase
audit dibuat, tingkatan terbesarnya adalah pengeksekusian dari team audit. Team
akan mengumpulkan data dan melakukan wawancara yang akan membantu anggota tim
untuk menganalisis potensi risiko dan menentukan risiko mana yang dikurangi
secara tepat. Dokumentasi juga merupakan bagian penting dari kerja lapangan.
Auditor harus melakukan pekerjaan yang memadai untuk mendokumentasikan
pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuannya adalah untuk
mendokumentasikan pekerjaan dengan cukup detail sehingga cukup mendapat
informasi, orang bisa mengerti apa yang telah dilakukan dan sampai pada
kesimpulan yang sama dengan auditor.
3. Penemuan dan
validasi, Saat melaksanakan penelitian lapangan, auditor akan mengembangkan
daftar masalah potensial. Ini adalah salah satu fase audit yang lebih penting,
dan auditor harus mengambilnya menggandakan daftar isu potensial tersebut untuk
memastikan bahwa semua masalah tersebut valid dan relevan.
4. Pengembangan
solusi, Setelah Anda mengidentifikasi potensi masalah di area yang telah
divalidasi, Anda dapat bekerja sama dengan pelanggan untuk mengembangkan
tindakan-tindakan untuk menangani setiap masalah Tiga pendekatan umum digunakan
untuk pengembangan dan menetapkan item tindakan untuk menangani masalah audit:
·
Pendekatan rekomendasi
·
Pendekatan manajemen-respon
·
Pendekatan solusi
5. Penyusunan
laporan, Laporan audit adalah perantara yang digunakan untuk mendokumentasikan
hasil audit. Penyusunan laporan melayani dua fungsi utama:
·
Bagi Anda dan pelanggan audit,
berfungsi sebagai catatan audit, dan rencana aksi yang dihasilkan.
·
Untuk manajemen senior dan komite
audit, berfungsi sebagai "rapor" di area yang diaudit
6.
Pelacakan masalah, Eskalasi harus
menjadi upaya terakhir dan seharusnya tidak menjadi proses mekanis.
Pertimbangan harus dipertahankan selama proses pelacakan masalah. Jika suatu
titik sudah terlambat, langkah pertama adalah meluangkan waktu bersama konsumen
yang bertanggung jawab untuk memahami alasannya.
Tahapan
Audit
1.
Subjek
Audit
Tentukan/identifkasi
unit/lokasi yang diaudit
2. Sasaran audit
Tentukan sistem secra spesifik,
fungsi atau unit orgainisasi yang akan diperiksa
3. Jangkauan audit
Identifikasi sistem secara
spesifik, fungsi atau unit organisasi untuk dimasukkan lingkup pemeriksaan.
4. Rencana pre-audit
a.
Identifikasi
kebutuhan keahlian teknik dan sumber daya yang diperlukan untuk audit
b.
Identifikasi
sumber bukti untuk tes atau review seperti fungsi flowchart, kebijakan,
standard prosedur dan kertas kerja audit sebelumnya.
5. Prosedur audit dan
langka-langkah pengumpulann bukti audit
a.
Identifikasi
dan pilih pendekatan audit untuk memeriksa dan menguji pengendalian intern
b.
Identifikasi
daftar individu untuk interview
c.
Identifikasi
dan menghasilkan kebijakan yang berhubungan dengan bagian, standar dan pedoman untuk interview
d.
Mengembangakn
instrumen audit dan metodologi pengujian dan pemeriksaan kontrol internal
6. Prosedur untuk evaluasi
a.
Organisasikan
sesuai kondisi dan situasi
b.
Identifikasi
prosedur evaluasi atas tes efektifitas dan efisiensi sistem, evaluasi kekuatan
dari dokumen, kebijakan dan prosedur yang diaudit
7. Laporan hasil audit
Siapkan laporan yang objektif,
konsteuktif (bersifat membangun) dan menampung penjelasan audit.
TEKNIK AUDIT
1. Auditing
Entity-Level Kontrol
2. Pusat
Data Audit dan Pemulihan bencana
3. Mengaudit
Router, Switch, dan Firewall
4. Mengaudit
Windows
5. Mengaudit
Unix dan Linux
6. Mengaudit
Web Server dan Aplikasi Web
7. Mengaudit
Database
8. Penyimpanan
Audit
9. Mengaudit
Virtualized Lingkungan
10. Mengaudit
WLAN dan Telepon genggam
11. Permohonan Audit
12. Mengaudit
Komputasi Awan dan Outsource Operasi
13. Proyek
Perusahaan Audit
STANDART & KERANGKA KERJA
Kerangka dan Standar
seiring perkembangan teknologi informasi (IT) selama akhir abad ke-20, IT
departemen dalam setiap organisasi biasanya mengembangkan metode sendiri untuk
mengelola operasi. Akhirnya, kerangka kerja dan standar muncul untuk memberikan
panduan bagi pengelolaan dan evaluasi proses TI. Beberapa kerangka kerja
dan standar yang paling menonjol saat ini terkait dengan penggunaan teknologi.
Dibawah ini akan mencakup hal berikut:
·
Pengantar pengendalian, kerangka kerja,
dan standar internal TI
·
Komite Organisasi Sponsor (COSO)
·
Tujuan Pengendalian Informasi dan
Teknologi Terkait (COBIT)
·
IT Infrastructure Library (ITIL)
·
ISO 27001
·
Metodologi Penilaian INFOSEC Keamanan
Nasional (Security Security Agency / NSA)
·
Kerangka dan tren standar
Referensi
:
IT Auditing: Using
Controls to Protect Information Assets, Chris Davis,
Mike Sciller, McGrowHill, 2011
http://melindanovianti36.blogspot.com/2017/10/it-auditing-menurut-chris-davis.html
http://fitharikhadir.blogspot.com/2016/01/audit-sistem-informasi-dan-prosedur.html
0 komentar:
Posting Komentar