Audit Teknologi Sistem Informasi
Tabel Perbandingan +/- Standar Audit SI
Konsep Dasar Kontrol dan Audit Sistem Informasi (SI)
Audit sistem informasi berbasis kendali merupakan suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.
Berdasarkan standar manajemen yang dikeluarkan oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:
- P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.
- W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.
- F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.
- S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.
Prinsip-Prinsip Dasar Proses Audit SI
Standar | Kelebihan | Kekurangan |
COBIT |
· Rahasia · Integritas · Dapat memberi proteksi terhadap informasi yang sensitif dari akses orang tidak bertanggung jawab
| · COBIT
hanya berfokus pada kendali
dan pengukuran · COBIT
hanya memberikan panduan kendali dan tidak memberikan panduan implementasi
operasional
|
ITIL | · Memberi
deksripsi rinci sejumlah
praktik penting TI
dan menyediakan daftar komprehensif tugas dan prosedur · Bukan
merupakan standard yang memberikan
presciption tetapi lebih kepada merekomendasikan
| · Buku-buku ITIL sulit terjangkau bagi pengguna non komersial · Bersifat holistic yang mencakup semua kerangka kerja untuk tata kelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi
|
ISO/IEC
38500 | · Menjamin
akuntabilitas diberikan untuk semua resiko IT dan aktivitasnya · Memberikan
panduan kepada advisor perusahaan · Memberikan prinsip panduan bagi
direksi organisasi ( termasuk
pemilik, anggota dewan, direktur, mitra, eksekutif senior, atau yang sejenisnya) mengenal penggunaan teknologi
informasi (TI) yang
efektif, efisien, dan dapat diterima didalam organisasi mereka · Menetapkan matriks yang sesuai melampaui kepatuhan terhadap standard minimum kantong individu praktik terbaik dengan menerapkan perbaikan tata kelola yang berkelanjutan dan perbaikan manajemen keamanan
| · Tidak cocok digunakan sebagai IT management framework |
Konsep Dasar Kontrol dan Audit Sistem Informasi (SI)
Audit sistem informasi berbasis kendali merupakan suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.
Berdasarkan standar manajemen yang dikeluarkan oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:
- P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.
- W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.
- F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.
- S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.
Prinsip-Prinsip Dasar Proses Audit SI
- Audit dititik beratkan pada objek audit yang mempunyai peluang untuk diperbaiki.
- Prasyarat Penilaian terhadap kegiatan objek audit.
- Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif.
- Identifikasi individu yang bertanggung jawab terhadap kekurangan-kekurangan yang terjadi.
- Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab.
- Pelanggaran hukum.
- Penyelidikan dan pencegahan kecurangan.
Standar dan Panduan Audit SI
Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian intern (internal controls model/framework) lazimnya adalah COBIT. Audit objectives dalam audit terhadap
IT governance (menurut COBIT adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi di sini.
Standar Audit SI ada 3, yaitu :
- ISACA
- COBIT
- ISO 1799
Kontrol Internal, Ruang Lingkup Kontrol Internal dan Sistem Kontrol Internal
- Kontrol Internal
Kontrol Internal adalah proses dan prosedur yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan pengendalian dipenuhi.
Pengendalian internal menjalankan tiga fungsi penting sebagai berikut:
- Pengendalian preventif (preventive control): pengendalian yang mencegah masalah sebelum timbul.
Contoh: merekrut personel berkualifikasi, memisahkan tugas pegawai, dan mengendalian akses fisik atas aset dan informasi.
- Pengendalian detektif (detective control): pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak terelakkan.
Contoh: menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta neraca saldo tahunan.
- Pengendalian korektif (corrective control): pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan.
Contoh: menjaga salinan backup pada file, perbaikan kesalahan entri data, dan pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.
- Ruang Lingkup Kontrol Internal
Pada tahun 1958, komite baru dari The American Institute of Certified Public
Accountnats (AICPA) mendefinsikan pengendalian internal dan ruang lingkupnya berdasarkan standar yang berterima umum, yaitu:
Pengendalian internal secara umum mencakup pengendalian yang dapat
dikarakteristikkan berdasarkan aspek akuntansi dan administrative sebagai berikut:
- Akuntansi: pengendalian terdiri dari perencanaan organisasi dan keseluruhan metode dan prosedur yang merupakan pertimbangan yang utama, dan berhubungan secara langsung
untuk pengamanan asset dan keandalan dari pelaporan keuangan. Internal control secara
umum mencakup seperti si,pengendalian system dari otorisasi dan persetujuan,
pemisahan tugas dalam hal kegiatan operasional atau penjagaan asset, pengendalian pisik
seluruh asset, dan audit internal.
- Administratif: pengendalian terdiri dari perencanaan organisasi dan keseluruhan
metode dan prosedur yang merupakanan pertimbangan utama dalam efisiensi dan
ketaatan kegiatan operasional terhadap kebijakan manajerial dan biasanya berhubungan
secara tidak langsung terhadap pelaporan keuangan. Secara umum mencakup
pengendalian sebagaimana analisis statistic, waktu dan pilihan studi, laporan kinerja,
program training untuk karyawan, dan control kualitas.
- Sistem Kontrol Internal
Menurut Mulyadi (2001, 183) Sistem pengendalian internal meliputi organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipenuhinya kebijakan manajemen.
Menurut Michael P. Cangemi dan Tommie Singleton (2002, p.66), pengendalian internal adalah aturan, praktek, prosedur, dan peralatan yang dirancang untuk :
- Keamanan asset yang berhubungan dengan badan hukum
- Meyakinkan akurasi dan kepercayaan perolehan data dan informasi produk
- Mendapatkan efisiensi
- Mengukur pemenuhan dengan aturan yang berhubungan dengan badan hukum
- Mengukur pemenuhan dengan regulasi-regulasi
- Mengatur kejadian-kejadian negatif dan pengaruh dari penyuapan, kejahatan dan aktivitas pengrusakan.
Menurut The Committee of Sponsoring Organization (COSO) yang dikutip oleh Bodnar dan Hopwood (2001:182) adalah sebagai berikut :
“Internal control is process -effected by an entity’s board of director, management, and other personal- designed to provide reasonable assurance regarding achievement of objectives in the following categories:
Reliability of financial reporting
Effectiveness and efficiency of operation, and
Compliance with applicable laws and regulations”.
Jadi pengendalian internal adalah proses yang dapat dipengaruhi manajemen dan karyawan dalam menyediakan secara layak suatu kepastian mengenai prestasi yang diperoleh secara objektif dalam penerapannya tentang bagian laporan keuangan yang dapat dipercaya, diterapkannya efisiensi dan efektivitas dalam kegiatan operasional perusahaan dan diterapkannya peraturan dan hukum yang berlaku agar ditaati oleh semua pihak
Control Objectives dan Control Risks
- Control Objectives
Control Objective adalah objek penilaian yang mendefinisikan kategori risiko untuk suatu Proses atau Sub-Proses.
Control Objective adalah objek, arah, atau standar yang bertindak sebagai panduan untuk interaksi dan operasi perusahaan. Control Objective dapat dikategorikan, diklasifikasikan, dan terkait dengan kebijakan.
- Control Risks
Control Risks adalah ukuran penetapan auditor akan kemungkinan adanya kekeliruan (salah saji) dalam segmen audit yang melampaui batas toleransi yang tidak terdeteksi atau tercegah oleh struktur pengendalian intern klien. Risiko pengendalian (control risk) mengandung unsur:Apakah struktur pengendalian intern klien cukup efektif untuk mendeteksi atau mencegah kekeliruan.
Keinginan auditor untuk membuat penetapan tersebut di bawah nilai maksimum (100%) dalam rencana audit.
Misalnya: auditor menyimpulkan bahwa struktur pengendalian intern yang ada sama sekali tidak efektif dalam mencegah atau mendeteksi kekeliruan.
Management Control Framework dan Application Control Framework
- Management Control Framework
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.
-Application Control Framework
Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.
Corporate IT governance
Kumpulan kebijakan, proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis.
Aspek Pada Management Control Framework dan Contohnya
– Top Management Controls
Para Manajer senior yang bertanggung jawab atas fungsi Sistem Informasi (SI) menghadapi berbagai tantangan seperti perkembangan teknologi dan peran SI dalam organisasi
– System development management controls
Manajemen pengembangan sistem meliputi fungsi analisis, desain, pembangunan, implementasi dan pemeliharaan SI
– Programming management controls
Karakteristik program yang baik diantaranya:
a. Fungsi-fungsi berjalan dengan tepat dan lengkap
b. Memiliki antarmuka pengguna yang berkualitas
c. Bekerja secara efisien
d. Dirancang dan didokumentasikan dengan baik
e. Pemeliharaannya mudah
f. Kuat, sekalipun dalam kondisi yang tidak normal
– Data resources management controls
Berbagai organisasi menyadari pentingnya data sebagai sumber daya kritis yang harus dikelola dengan baik
– Security management controls
Program keamanan adalah sekumpulan review berkelanjutan, reguler, dan periodik untuk pengamanan aset SI
– Operations management controls
Manajemen operasi bertanggung jawab pada operasional harian fasilitas hardware dan software agar staf pengembang dapat merancang, implementasi dan memelihara sistem aplikasi kontrol yang diperlukan
– Quality assurance management controls
Manajemen Quality Assurance (QA) berperan memastikan bahwa SI yang dihasilkan oleh fungsi-fungsi SI mencapai tujuan kualitas, dan pengembangan, implementasi, operasi dan pemeliharaan SI sesuai dengan sekumpulan standar kualitas. Alasan pentingnya peran QA dalam organisasi dintaranya semakin banyak organisasi yang menggunakan SI sebagai aset utama, tuntutan pengguna akan SI yang berkualitas makin meningkat, ambisi organisasi akan kualitas software makin meningkat, organisasi makin bertanggung jawab untuk menghindari produk (software) cacat. Kontrol kualitas yang buruk beresiko dan berbiaya tinggi.
Contoh : Saat seorang staf diberi kabar mengenai pemberhentian, top management dan supervisor harus diberi tahu dan sepakat tentang alasan pemberhentian.
Saat pemberhentian, pastikan bahwa :
– Kunci dan kartu identitas ditarik
– Password staf dibatalkan; Distribution list diubah
– Laporan, buku, dokumentasi, dll diserahkan
– Seluruh fasilitas dikembalikan
Jika pemberhentian dilakukan dengan baik-baik, staf dapat diminta untuk memberikan pelatihan bagi staf pengganti. Jika perlu, lakukan wawancara kepada staf yang keluar.
Keinginan auditor untuk membuat penetapan tersebut di bawah nilai maksimum (100%) dalam rencana audit.
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.
Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.
Para Manajer senior yang bertanggung jawab atas fungsi Sistem Informasi (SI) menghadapi berbagai tantangan seperti perkembangan teknologi dan peran SI dalam organisasi
Manajemen pengembangan sistem meliputi fungsi analisis, desain, pembangunan, implementasi dan pemeliharaan SI
Karakteristik program yang baik diantaranya:
a. Fungsi-fungsi berjalan dengan tepat dan lengkap
b. Memiliki antarmuka pengguna yang berkualitas
c. Bekerja secara efisien
d. Dirancang dan didokumentasikan dengan baik
e. Pemeliharaannya mudah
f. Kuat, sekalipun dalam kondisi yang tidak normal
Berbagai organisasi menyadari pentingnya data sebagai sumber daya kritis yang harus dikelola dengan baik
Program keamanan adalah sekumpulan review berkelanjutan, reguler, dan periodik untuk pengamanan aset SI
Manajemen operasi bertanggung jawab pada operasional harian fasilitas hardware dan software agar staf pengembang dapat merancang, implementasi dan memelihara sistem aplikasi kontrol yang diperlukan
Manajemen Quality Assurance (QA) berperan memastikan bahwa SI yang dihasilkan oleh fungsi-fungsi SI mencapai tujuan kualitas, dan pengembangan, implementasi, operasi dan pemeliharaan SI sesuai dengan sekumpulan standar kualitas. Alasan pentingnya peran QA dalam organisasi dintaranya semakin banyak organisasi yang menggunakan SI sebagai aset utama, tuntutan pengguna akan SI yang berkualitas makin meningkat, ambisi organisasi akan kualitas software makin meningkat, organisasi makin bertanggung jawab untuk menghindari produk (software) cacat. Kontrol kualitas yang buruk beresiko dan berbiaya tinggi.
Contoh :
- Defining, creating, redefining, retiring data dengan wawancara dan observasi.
- Membuat database yang tersedia untuk semua user.
- Menginformasikan dan melayani user
- Memelihara integritas data
- Monitoring operations
Saat pemberhentian, pastikan bahwa :
– Kunci dan kartu identitas ditarik
– Password staf dibatalkan; Distribution list diubah
– Laporan, buku, dokumentasi, dll diserahkan
– Seluruh fasilitas dikembalikan
Komentar
Posting Komentar