Audit Teknologi SI


Audit teknologi informasi

Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. 
Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

Teknologi Auditing Sistem Informasi
Data Pengujian
Pendekatan Fasilitas Uji Terintegrasi (ITF)
Simulasi Paralel
Perangkat Lunak Audit
Generalized Audit Software (GAS)
PC Software (ACL Software)
Embedded Audit Routine
Extended Record
Snapshot
Tracing
Dokumentasi Tinjauan Sistem
Flowchart Pengendalian
Mapping(pemetaan)

Jenis Audit Sistem Informasi
Pendekatan Umum pada Audit Sistem Informasi terbagi menjadi tiga tahap yaitu
1. Kaji ulang awal dan evaluasi wilayah yang akan diaudit dan persiapan rencana audit
2. Kaji ulang dan evaluasi pengendalian yang terperinci
3. Pengujian kelayakan dan diikuti dengan analisis dan pelaporan hasil

Audit Aplikasi Sistem Informasi
Audit aplikasi biasanya meliputi  pengkajian ulang pengendalian yang ada di setiap wilayah pengendalian aplikasi(input, pemrosesan, dan output). Teknologi khusus yang digunakan akan tergantung pada kecerdasan dan sumber daya yang dimiliki auditor.

Audit Pengembangan Sistem Aplikasi
Diarahkan pada aktivitas analisis sistem dan programmer yang mengembangkan dan memodifikasi program- program aplikasi, file dan prosedur – prosedur yang terkait.
Audit Pusat Layanan Komputer
Audit terhadap pusat layanan komputer normalnya dilakukan sebelum audit aplikasi untuk memastikan integritas secara umum atas lingkungan yang di dalamnya aplikasi akan berfungsi.

Tujuan audit sistem informasi secara teknis yaitu:
a) Evaluasi atas kesesuaian antara rencana strategis dengan rencana tahunan organisasi,rencana tahunan dan rencana proyek.
b) Evaluasi atas kelayakan struktur organisasi yaitu termasuk pemisahan fungsi dan kelayakan pelimpahan wewennang dan otoritas.
c) Evaluasi atas pengelolahan personil yaitu termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi,mutasi, serta terminasi personil.
d) Evaluasi atas pengembangan yaitu termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi, migrasi, pelatihan dan dokumentasi, serta manajemen perubahan.
e) Evaluasi atas kegiatan operasional yaitu termasuk pengelolaan keamanan dan kenerja pengelolaan pusat data, pengelolaan keamanan dan kenerja jaringan data, pengelolaan masalah dan insiden serta dukungan pengguna.
f) Evaluasi atas kontinuitas layanan yaitu termasuk pengelolaan backup dan recovery, pengelolaan prosedure darurat, pengelolaan rencana pemulihan layanan, serta pengujian rencana kontijensi operasional.
g) Evaluasi atas kualitas pengendalian aplikasi yaitu termasuk pengendalian input, pengendalian proses dan pengendalian output.
h) Evaluasi atas kualitas data/informasi yaitu termasuk  pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.

Konsep Audit SI
Perencanaan (Planning)
Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.

Perencanaan meliputi beberapa aktivitas utama, yaitu:
Penetapan ruang lingkup dan tujuan audit
Pengorganisasian tim audit
Pemahaman mengenai operasi bisnis klien
Kaji ulang hasil audit sebelumnya
Penyiapan program audit

Pemeriksaan Lapangan (Field Work)
Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.

Pelaporan (Reporting)
Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.

Tindak Lanjut (Follow Up)
Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.

Proses Audit TSI
Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:
a) Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua pihak
b) Tetapkan langkah-langkah audit yang rinci
c) Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
d) Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
e) Telaah apakah tujuan audit tercapai
f) Sampaikan laporan kepada pihak yang berkepentingan
g) Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.

Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:
a) Audit subject
b) Audit objective
c) Audit Scope
d) Preaudit planning
e) Audit procedures and Steps for data gathering
f) Evaluasi hasil pengujian dan pemeriksaan
g) Audit report preparation

Berikut struktur isi laporan audit secara umumnya (tidak baku):
a) Pendahuluan
h) Kesimpulan umum auditor
i) Hasil audit
j) Rekomendasi
k) Exit interview
  

Teknik Autdit

Ada beberapa pendekatan yang dapat dipilih oleh seorang auditor apabila menggunakan teknik audit berbantuan komputer, yaitu melakukan pengujian aplikasi atau melakukan pengujian substantif.

Beberapa pendekatan yang dapat dilakukan apabila auditor tersebut memilih melakukan pengujian aplikasi adalah:

1. Test Data
Metode ini menggunakan data masukan yang telah dipersiapkan auditor dan menguji data tersebut dengan salinan (copy) dari perangkat lunak aplikasi auditan. Hasil pemrosesan data tersebut akan dibandingkan dengan ekspektasi auditor. Jika ada hasil yang tidak sesuai, mungkin ini suatu indikasi penyimpangan logika atau mekanisme pengendalian.

2. Integrated TestFacility(ITF)
Adalah suatu pendekatan teknik terotomatisasi yang memungkinkan auditor menguji alur logika dan kendali suatu aplikasi pada saat operasi normal berlangsung.

3. Parallel Simulation(PS)
Pendekatan ini mengharuskan auditor untuk membuat suatu program yang menyimulasikan fungsi utama tertentu dari aplikasi yang sedang diuji.

Sedangkan untuk melakukan pengujian substantif (misalnya detail transaksi atau saldo perkiraan),makaauditordapatmemilihteknik:

1.Embadded Audit Module(EAM)
Merupakan suatu teknik dimana satu atau lebih modul program tertentu dilekatkan di suatu aplikasi untuk mencatat secara tersendiri serangkaian transaksi yang telah ditentukan ke dalam file yang akan dibaca oleh auditor

2.Generalized Audit Software(GAS)
Adalah pendekatan yang menggunakan suatu perangkat lunak tertentu yang dimanfaatkan untuk menyeleksi, mengakses, mengorganisasikan data untuk kepentingan pengujian substantif. Pendekatan ini memungkinkan auditor untuk mengakses dan mengambil berbagai file data ke dalam computer untuk kemudian melakukan berbagai pengujian yang diperlukan. Pendekatan ini merupakan teknik yang paling populer karena relatif lebih mudah karena tidak diperlukan kemampuan teknik komputasi yang cukup mendalam.

Regulasi Audit TSI
Dengan dominannya  penggunaan komputer dalam membantu kegiatan operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol yaitu:

A) COSO (Comitte Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan).Tahun 1992, COSO menyusun dan MenerbitkanInternal Control Integrated Framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal Control Integrated Framework dengan menambah cakupan tentang manajemen  dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).

Pencapaian tujuan pengendalian intern yang didefenisikan COSO:    
1. Efektifitas dan efisiensi aktivitas operasi
2. Kehandalan pelaporan keuangan
3. Ketaatan terhadap hukum dan peraturan yang berlaku
4. Pengamanan aset entitas.

B) COBIT (Control Objectives for Information and Related Technology)
Yaitu alat pengendalian untuk informasi dan tekhnology terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI (Information and Technology Governance Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.

C) SARBOX (Sarbanes-Oxley Act)
Yaitu merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:
    
1. Meningkatkan akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.
2. Meningkatkan pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.
3. Meningkatkan pengawasan rutin yang lebih intensif oleh SEC.
4. Meningkatkan akuntabilitas akuntan.

D) ISO 17799
Yaitu standar untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan keamanan.

E) BASEL II
BASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank  untuk memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).

Sumber:
https://id.wikipedia.org/wiki/Audit_teknologi_informasi
https://wisudarini.wordpress.com/2011/11/02/audit-teknologi-informasi/
http://mirzahtale.blogspot.co.id/2017/10/audit-teknologi-sistem-informasi.html
http://www.kajianpustaka.com/2014/02/audit-sistem-informasi.html
loading...

Post a Comment