AUDIT SISTEM INFORMASI
Ø PENGERTIAN
Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.
Ø TUJUAN
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
a. Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu :Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) danCompliance (Kepatuhan).
b. Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu :Effectiveness(Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Tujuan audit sistem informasi menurut Ron Weber tujuan audit yaitu :
1. Mengamankan aset, aset (activa) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dengan aktiva – aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.
2. Menjaga integritas data, integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Meskipun demikian, perlu juga disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3. Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user). Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya Audit efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design). Hal ini dapat terjadi jika desainer sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek dan besar biaya penerapannya, manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu oleh pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.
4. Mencapai efisiensi sumberdaya, suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat terbatas adanya. Oleh karena itu, beberapa kandidat sistem (system alternatif) harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.
Adapun tujuan yang lain adalah :
· Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.
· Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan strategis.
Ø PENGENDALIAN UMUM
Lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data.
Ø RUANG LINKGUP
Sebagai audit operasional terhadap fungsi sistem informasi (IT governance), audit objective-nya adalah melakukan assessment terhadap efektifitas, efisiensi, dan ekonomis tidaknya pengelolaan sistem informasi suatu organisasi.
Ø PENGENDALIAN APLIKASI
Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.
UNSUR PENGENDALIAN APLIKASI
Ø BATAS SISTEM
Boundary adalah interface antara users dengan system berbagai teknologi informasi. Tujuan utama boundary control adalah
Untuk mengenal identitas dan otentik/tidaknya pemakai system, artinya system yang didesain dengan baik seharusnya mengidentifikasi dengagn tepat siapa user tersebut dan apakah identitas diri yang dipakainya otentik.
Untuk menjaga agar sumber daya system informasi digunakan oleh dengan cara yang ditetapkan.
Ø INPUT CONTROL
Dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah validm lengkap, serta bebas dari kesalahan dan penyalahgunaan. Merupakan pengendalian aplikasi yang penting karena input yang salah akan menyebabkan output juga keliru.
Mekanisme masuknya data input ke system dapat dikategorikan ke dalam dua acara yaitu
1. Batch system (delayed processing systems)
2. On line transaction processing system (pada umumnya bersifat real time system)
Ø PROCESS CONTROL
1. Batch system
Orientasi utamanya adalah system pengolahan data (dahulu disbeut system pengolahan data elektronik, electronic data processing, EDP). Data input yang akan dimasukkan ke system informasi berbasis teknologi pada hakikatnya dapat dikelompokan dalam tiga tahapan, yaitu
· Data capture
· Data preparation
· Data entry
2. On line transaction processing system
Data masukan dientri dengan workstation/terminal atau jenis input device seperti ATM dan Point Of Sales. Meskipun online bias saja memakai pola batch, tetapi biasanya online dikaitkan dengan real time system, artinya updating data di computer bersamaan dengan terjadinya transaksi.
Ø FUNGSI INTERNAL AUDITOR
· Mengevaluasi pengendalian atas aplikasi tertentu, yang mencakup analisis terhadap resiko dan seperto e-business, system perencanaan daya perusahaan.
· Memerbikan asersi(assurance) atas proses tertentu, seperti audit dengan prosedur tentu yang disepakati Bersama dengan audit.
· Memberikan asersi atas aktifitas pengolahan data pihak ketiga dengan tujuan untuk memberikan bagi pihak lain yang memerlukan informasi yang dilakukan oleh pihak ketiga tersebut.
· Pengujian penetrasi yaitu untuk mengakses sumber daya informasi guna menemukan kelemahan.
· Memberikan dukungan atas pekerjaan audit keuangan yang mencakup evaluasi atas resiko dan pengendalian TI yang dapat memengaruhi kehandalan system pelaporan keuangan,
· Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan computer dalam investigasi kecurangan
Tidak ada komentar:
Posting Komentar