MEMAHAMI KONSEP DASAR DAN JENIS AUDIT TEKNOLOGI SISTEM INFORMASI

-

MEMAHAMI KONSEP DASAR DAN JENIS
AUDIT TEKNOLOGI SISTEM INFORMASI

Disusun untuk memenuhi tugas Mata Kuliah Audit Teknologi Sistem Informasi

Dosen pengampu : Imam Ahmad Trinugroho, ST., MMSI.


Disusun oleh :

Nama           : Shabrina Jamilah

NPM            : 16118620

Kelas            : 4KA07


AUDIT TEKNOLOGI SISTEM INFORMASI

A. Definisi Audit Teknologi Sistem Informasi

Audit teknologi informasi (TI) memeriksa proses, aset TI, dan kontrol di berbagai tingkatan dalam suatu organisasi untuk menentukan sejauh mana organisasi mematuhi standar atau persyaratan yang berlaku. Audit TI membantu organisasi memahami, menilai, dan meningkatkan penggunaan kontrol mereka untuk melindungi TI, mengukur dan memperbaiki kinerja, serta mencapai tujuan dan hasil yang diharapkan (Gantz, 2013). Penting menggunakan kata "TI" untuk memenuhi syarat audit TI yang membedakannya dari yang lainnya. Audit TSI ini memiliki nama lain seperti Information Systems Audit, Information Technology Audit, Computerized Audit, dan Elecronic Data Processing Audit. Semuanya memiliki pengertian dan lingkup sama yang tidak jauh berbeda.

Saat ini, hampir semua organisasi modern bergantung pada teknologi informasi (TI). TI sangat penting untuk keberhasilan, efisiensi operasi, daya saing, dan bahkan kelangsungan hidup, menjadikan kebutuhan organisasi untuk memastikan penggunaan TI yang benar dan efektif. Fungsi TI pada tingkat kinerja dan kualitas yang memadai untuk mendukung bisnis secara efektif, dan aset informasi diamankan secara memadai sesuai dengan toleransi risiko dari organisasi. Aset tersebut juga harus diatur secara efektif, yang berarti bahwa aset dapat beroperasi sebagaimana dimaksud, bekerja dengan benar, dan berfungsi dengan cara yang sesuai dengan peraturan dan standar yang berlaku. Maka dari itu audit TI dapat membantu organisasi mencapai semua tujuan ini.

Kriteria audit harus didefinisikan dan didokumentasikan secara eksplisit sehingga auditor dapat menggunakannya sebagai dasar untuk memeriksa proses, kontrol, kemampuan, atau perilaku organisasi yang termasuk dalam ruang lingkup audit. Sumber utama prosedur audit TI/SI diatur dalam prosedur dan protokol audit dari :

·       ISACA IT Audit Framework

·       ISO/IEC 27006, 27007, and 27008

·       Federal Information System Controls Audit Manual (FISCAM)

B. Jenis-Jenis Audit dan Ruang Lingkup Audit Teknologi Sistem Informasi

Ada dua jenis auditor dan audit yaitu internal dan eksternal. Audit sistem informasi (SI) biasanya merupakan bagian dari audit internal akuntansi, dan sering dilakukan oleh auditor internal perusahaan. Misi departemen audit internal ini adalah untuk membantu meningkatkan atau memperbaiki keadaan pengendalian internal (internal controls) di perusahaan. Auditor eksternal meninjau temuan audit internal serta input, pengolahan, dan output dari sistem informasi. Audit eksternal sistem informasi terutama dilakukan oleh auditor sistem informasi bersertifikat seperti CISA, disertifikasi oleh ISACA, Information System Audit and Control Association, USA, Information System Auditor (ISA) disertifikasi oleh ICAI (Institute of Chartered Accountants of India) dan sertifikasi lainnya oleh organisasi bereputasi untuk audit SI.

Audit pada dasarnya dibedakan menurut tujuannya. Certified Public Accountant (CPA) membagi audit menjadi tiga jenis audit utama, seperti pada gambar dibawah ini :

1.     Operational Audit (Audit Operasional)

Lazim disebut audit kinerja. Tujuannya adalah mengevaluasi efisiensi dan efektivitas setiap bagian dari prosedur dan metode operasi organisasi. Manajemen biasanya mengharapkan rekomendasi untuk meningkatkan operasi. Tinjauannya tidak terbatas pada akuntansi, melainkan dapat mencakup evauasi struktur organisasi, operasi komputer, metode produksi, pemasaran, dan area lain di mana auditor memenuhi syarat. Menetapkan kriteria untuk mengevaluasi informasi dalam audit operasional sangat subjektif. Dalam pengertian ini, audit operasional lebih seperti manajemen konsultasi dari apa yang biasanya dianggap audit.

2.     Compliance Audit (Audit Kepatuhan)

Dilakukan untuk menentukan apakah auditee mengikuti prosedur, aturan, atau peraturan tertentu yang ditetapkan oleh otoritas yang lebih tinggi (pemerintah). Hasil audit kepatuhan biasanya dilaporkan kepada manajemen, bukan pengguna luar karena manajemen adalah kelompok utama yang peduli dengan tingkat kepatuhan terhadap prosedur dan peraturan pemerintah.

3.     Financial Statement Audit (Audit Laporan Keuangan)

Dilakukan untuk menentukan apakah laporan keuangan (informasi yang diverifikasi) dinyatakan sesuai dengan kriteria yang ditentukan. Kriteria yang digunakan berupa standar akuntansi PSAK (Indonesia) dan GAAP (Amerika Serikat).

Ruang lingkup audit TSI dapat mencakup hampir semua sumber daya infrastruktur TI. Dengan demikian melibatkan evaluasi perangkat keras, aplikasi perangkat lunak, sumber daya data dan orang-orangnya. Namun, salah satu sumber daya terpenting yang menarik perhatian khususnya untuk auditor SI adalah perangkat lunak aplikasi. Audit SI mempertimbangkan semua potensi bahaya dan pengendalian dalam sistem informasi. Ini berfokus pada isu-isu seperti operasi, data, integritas, aplikasi perangkat lunak, keamanan, privasi, anggaran dan pengeluaran, pengendalian biaya, dan produktivitas. Pedoman tersedia untuk membantu auditor dalam pekerjaan mereka, seperti dari Information Systems Audit and Control Association (ISACA).

C. Jenis-Jenis Kontrol dan Audit Teknologi Sistem Informasi

Seperti yang telah diketahui sebelumnya bahwa tujuan atau misi sebenarnya dari departemen audit internal adalah untuk membantu meningkatkan keadaan internal control di perusahaan. Tapi apa itu internal control? Internal control atau pengendalian internal adalah mekanisme yang memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk tujuan bisnis tertentu. Auditor harus mencari keberadaan risiko untuk tujuan tersebut dan kemudian memastikan bahwa pengendalian internal dilakukan untuk mengurangi risiko dalam proses tersebut.

Committee of Sponsoring Organizations of the Treadway Commission (COSO) mengembangkan Kerangka Kerja COSO untuk mengevaluasi pengendalian internal. Model ini telah diadopsi sebagai kerangka kerja yang diterima secara umum untuk pengendalian internal dan secara luas diakui sebagai standar definitif yang digunakan organisasi untuk mengukur efektivitas sistem pengendalian internal. Dalam sistem pengendalian internal yang efektif, lima komponen yang berfungsi untuk mendukung pencapaian misi, strategi, dan tujuan bisnis entitas yang terkait yaitu :

  1. Control Environment: Rangkaian standar, proses dan struktur yang menjadi dasar dalam penyelenggaraan pengendalian internal di seluruh organisasi. Lingkungan pengendalian yang dihasilkan akan berdampak luas terhadap sistem pengendalian internal secara keseluruhan.
  2. Risk Assessment: COSO IC 2013 merumuskan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdampak merugikan bagi pencapaian tujuan. Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola
  3. Control Activities: Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan melalui kebijakan dan prosedur untuk membantu memastikan dilaksanakannya arahan manajemen dalam rangka meminimalkan risiko atas pencapaian tujuan.
  4. Information & Communication: Organisasi memerlukan informasi demi terselenggaranya fungsi pengendalian internal dalam mendukung pencapaian tujuan. Manajemen harus memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan berkualitas, baik dari sumber internal maupun eksternal. Hal tersebut diperlukan agar komponen pengendalian internal yang lain berfungsi dengan baik sebagaimana mestinya.
  5. Monitoring Activities: Sebelumnya komponen ini hanya disebut monitoring. Perubahan ini dimaksudkan untuk memperluas persepsi pemantauan sebagai rangkaian aktivitas yang dilakukan sendiri dan juga sebagai bagian dari masing-masing empat komponen pengendalian internal lainnya. Kegiatan pemantauan mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari keduanya yang digunakan untuk memastikan masing-masing komponen pengendalian internal ada dan berfungsi sebagaimana mestinya.
    Kontrol dapat bersifat preventive, detective, atau reactive dengan implementasinya yang dapat bersifat administratif, teknis, dan fisik.

  1. Preventive Controls: Yaitu kegiatan pengendalian yang dilakukan untuk mencegah terjadinya suatupermasalahan (error condition) dari suatu proses bisnis, atau dengan kata lainpengendalian yang dilakukan sebelum masalah timbul. Misalnya, memerlukan ID pengguna dan kata sandi untuk mengakses ke dalam suatu sistem.
  2. Detective Controls: Yaitu kegiatan pengendalian yang dilakukan dalam rangka mencari atau mendeteksi adanya suatu permasalahan dan mencari akar permasalahan tersebut, atau dengan kata lain pengendalian yang dilakukan dimana telah terdapat suatu permasalahan. Misalnya, mencatat semua aktivitas yang dilakukan pada sistem akan memungkinkan untuk meninjau log aktivitas yang tidak sesuai setelah kejadian.
  3. Reactive Controls (aka Corrective Controls): Kontrol ini berada di antara kontrol preventif dan detektif. Kontrol ini tidak mencegah peristiwa buruk terjadi, tetapi kontrol ini menyediakan cara sistematis untuk mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki situasinya.  
    Audit TI adalah aktivitas yang berdiri sendiri dan komponen inti dari banyak jenis audit lainnya. Ada juga banyak jenis audit khusus TI, terutama yang dimaksudkan untuk mendukung IT governance, manajemen risiko, serta sertifikasi dan kepatuhan standar. Audit TSI memiliki peran dalam audit keuangan, operasional, sertifikasi, dan kepatuhan, tetapi juga merupakan domain audit khusus sendiri, dengan fokus pada aset khusus TI, proses, dan kontrol.

Karena peran audit TSI yang bisa begitu luas, maka auditor TSI dapat mewakili banyak bidang pengetahuan, keterampilan, dan kemampuan yang berbeda. Tergantung pada ukuran organisasi dan skala serta keragaman operasi TI-nya, memastikan program audit secara memadai mencakup area fungsional yang relevan dan domain teknis yang mungkin memerlukan tim kecil personel audit yang relatif senior dengan pengalaman TI yang luas atau kelompok auditor yang lebih besar dengan bidang yang lebih khusus keahlian yang sesuai dengan fasilitas, infrastruktur, proses, sistem, dan komponen teknologi yang diterapkan oleh organisasi.


DAFTAR PUSTAKA

Anderson , U. L., & Head, M. J. (2017). Internal Auditing: Assurance & Advisory Services, Fourth Edition. Lake Mary: Internal Audit Foundation.

Arens, A. A., Elder, R. J., & Beasley, M. S. (2017). Auditing & Assurance Services: An Integrated Approach Edisi 16. Boston: Pearson Education.

Davis, C., Schiller, M., & Wheeler, K. (2011). IT Auditing Using Controls to Protect Information Assets, 2/E. New York: Mc Graw Hill.

Gantz, S. D. (2014). The Basics of IT Audit Purposes, Processes, and Practical Information. Waltham: Syngress.

Khandhar Mehta and Shah. (t.thn.). Information System Audit. Diambil kembali dari KMS: https://www.kmsindia.in/information-system-audit-services-in-ahmedabad/

Rainer, R. K., & Cegielski, C. G. (2011). Introduction to information systems. 3rd ed. Hoboken: Jonh Wiley and Sons.

 





Komentar

Posting Komentar

berkomentarlah dengan bijak dan etika berbahasa yang menjadi karakter makhluk berakal

Postingan populer dari blog ini

Hidup mereka, tanggung jawabku juga

-
Gambar
Siapa yang tidak gemas melihat makhluk mungil nan lucu ini?. Sejak menginjak SMP gue cinta makhluk ini., tapi mereka sudah wafat 😓. Foto ini adalah hamster baru lagi. Beli bulan Mei 2018.  Ini asli jepret foto sendiri yaa, bukan dari gugel 😆😆. Gue sekarang punya 3 hamster. 1 jantan 2 betina (waa poligami dong) haha :v Janta bernama Yamato, betina 1 bernama Tenzo, betina 2 bernama Kinoe. Naruto Lovers pasti ga asing dengan ketiga nama tersebut. Mereka jenis hamster roborovski. jenis hamster terkecil dan terlincah diantara semua jenis hamste. Jadi ini ga cocok buat anak kecil yaa. Selebihnya tentang hamster bisa liat di artikel google lainnya. Gue selalu anggap mereka teman kecil, bukan hanya sekedar binantang ! Gue merasa bersalah dan jahat banget kalo cume beli terus dibiarin gitu aja. Gue selalu ajak mereka ngobrol, manggil nama mereka, membersihkan kandangnya dan rutin mengeluarkan dari kandang minimal seminggu sekali. mungkin itu terlihat gila ya ngobrol sama hewan, tapi
lanjut baca yuk »

Perputaran Cinta Mahluk

-
Seseorang ketika mencintai, ada konsekuensi terhadap apa yang ia dicintai, boleh jadi menjadi sesuatu yang baik untuk dia dihari kiamat dan boleh jadi cinta itu justru menjadi mala peteka bagi dia diakhirat kelak Cerita Majnun terhadap Laila yang sangat terkenal itu, menunjukkan bahwa marjun akhirnya dibunuh oleh cintanya kepada Laila.  Qorun dibunuh karena kecintaan kepada harta benda.  Fir’aun dibunuh oleh cintanya terhadap kedudukan.  Tapi Hamzah, Ja’far dan Hanzhalah mati karena cintanya kepada Allah dan Rasulnya.  Alangkah jauh jarak yang memisahkan antara keduanya. https://muslimah.or.id/5617-arti-dari-sebuah-cinta.html
lanjut baca yuk »