Minggu, 19 November 2017

AUDIT SISTEM INFORMASI

AUDIT SISTEM INFORMASI

AUDIT SISTEM INFORMASI

1. PENGERTIAN

Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”. Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.

2. TUJUAN

Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
  1. Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu :Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) danCompliance (Kepatuhan).
  2. Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu :Effectiveness(Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Adapun tujuan yang lain adalah :
  • .      Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.

  • .      Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan str

 3. PENGENDALIAN UMUM

Pengendalian umum pada perusahaan dilakukan terhadap aspek fisikal maupun logikal. Aspek fisikal dilakukan terhadap aset-aset fisik perusahaan, sedangkan aspek logikal terhadap sistem informasi di level manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan menjadi beberapa, diantaranya:


a)      Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan pengendalian organisasi adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.
b)      Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
c)      Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
d)     Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).

RUANG LINGKUP AUDIT  SISTEM INFORMASI 


Ruang lingkup ini dapat berupa seluruh kegiatan atau dapat juga hanya mencakup bagian tertentu dari program/aktivitas yang dilakukan. Periode audit juga bevariasi, bisa untuk jangka waktu satu minggu, beberapa bulan, satu tahun bahkan untuk beberapa tahun, sesuai dengan tujuan yang ingin dicapai.
Audit sistem informasi bertujuan untuk mengindentifikasi kegiatan, program dan aktivitas yang masih memerlukan perbaikan, sehingga dengan rekomendasi yang diberikan nantinya dapat di capai perbaikan atas pengelolaan berbagai program dan aktivitas pada perusahaan tersebut. Berkaitan dengan tujuan ini titik berat audit diarahkan terutama berbagai objek audit yang diperkirakan dapat diperbaiki di masa yang akan datang, disamping juga mencegah kemungkinan terjadinya berbagai kerugian.

PENGENDALIAN APLIKASI

Pengendalian aplikasi adalah prosedur-prosedur pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat berjalan dengan baik.

Pengendalian Aplikasi Terdiri Dari :
1).   Pengendalian masukan atau input controls.
2).   Pengendalian proses pengolahan data atau process controls.
3).   Pengendalian keluaran atau output controls.

1)      Pengendalian Atas Masukkan (Input)
Mengapa diperlukan pengendalian input ? Karena input merupakan salah satu tahap dalam sistem komputerisasi yang paling krusial dan mengandung resiko.
Resiko yang dihadapi misalnya ialah:
•         Data transaksi yang ditulis oleh pelaku transaksi salah.
•         Kesalahan pengisian dengan kesengajaan disalahkan.
•         Penulisan tidak jelas sehingga dibaca salah oleh orang lain (misalnya  petugas yang harus meng-entry data tersebut ke komputer), khususnya bila yang diolah bukan dokumen aslinya, melainkan tembusan.
Batch Sistem
Cara pemrosesan data input antara lain dengan sistem batch processing, data diolah dalam satuan kelompok (bundel) dokumen, dan delayed processing system (pengolahan bersifat tertunda, yaitu updating data di  komputer tidak sama dengan terjadinya transaksi).
Pengendalian input dalam sistem batch dilakukan pada tahap:
—  Data Capturing
—  Batch Data Preparation
—  Batch Data Entry
—  Validation

2)      Pengendalian Atas Pengolahan (Processing )
Pengendalian proses (processing controls) ialah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses.
Kemungkinan yang paling besar untuk menimbulkan terjadinya error adalah kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antar  subsistem atupun kesalahan teknis lainnya.

3)      Pengendalian Atas Keluaran (Output )
Pengendalian keluaran (output controls) ialah pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang- orang yang tidak berhak. Kemungkinan resiko yang dihadapi yang terkait dengan keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak lengkap, terlambat atau data tidak uptodate, banyak item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak. Dalam sistem yang sudah lebih terbuka (menggunakan jaringan komuni-kasi publik) potensi akses oleh hacker, cracker atau orang yang tidak berwenang lainnya menjadi makin tinggi.

FUNGSI INTERNAL AUDITOR

Pada mulanya internal auditor dalam suatu perusahaan mempunyai fungsi yang terbatas, yaitu mengadakan pengawasan atas pembukuan, namun sejalan dengan meningkatnya sistem informasi akuntansi, aktivitas internal auditor tidak lagi berputar pada pengawasan pembukuan semata-mata.
Akan tetapi mencakup pemeriksaan dan evaluasi terhadap kecukupan dan efektivitas sistem organisasi, sistem internal control dan kualitas kertas kerja manajemen dalam melaksanakan tanggung jawab yang dibebankan kepadanya.
Fungsi internal auditor yang dikemukakan oleh Holmes dan Overmayer yang menggolongkan secara terperinci:
  • 1.     Menentukan baik tidaknya internal control dengan memperhatikan pemeriksaan fungsi dan         apakah   prinsip akuntansi benar-benar telah dilaksanakan.
  • 2.     Bertanggung jawab dalam menentukan apakah pelaksanaan sesuai dengan rencana policy dan     prosedur yang telah ditetapkan sampai nilai apakah hal tersebut telah diperbaiki atau tidak,
  • 3.     Menverifikasi adanya keuntungan kekayaan atau asset termasuk mencegah dan menentukan          penyelesaian.

Senin, 09 Oktober 2017

Audit teknologi dan Sistem Informasi

Audit Sistem Informasi


Pengertian Audit Sistem Informasi
Audit Sistem Informasi (Informatin System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit  adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).


Tujuan Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
a. Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu :Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) danCompliance (Kepatuhan).
b. Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu :Effectiveness(Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Tujuan audit sistem informasi menurut Ron Weber tujuan audit yaitu :
1. Mengamankan asset
2. Menjaga integritas data
3. Menjaga efektivitas sistem
4. Mencapai efisiensi sumberdaya.

Keempat tujuan tersebut dapat dijelaskan sebagai berikut :
1. Mengamankan aset, aset (activa) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.
Sama halnya dengan aktiva – aktiva yang lain, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras dapat rusak karena unsur kejahatan atau sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat digunakan untuk tujuan yang tidak diotorisasi.
2. Menjaga integritas data, integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. Akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Meskipun demikian, perlu juga disadari bahwa menjaga integritas data tidak terlepas dari pengorbanan biaya. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3. Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user). Selanjutnya, untuk menilai apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misalnya pengambil keputusan), auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan yang telah ditetapkan. Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya Audit efektivitas sistem dapat juga dilaksanakan pada tahap perencanaan sistem (system design). Hal ini dapat terjadi jika desainer sistem mengalami kesulitan untuk mengetahui kebutuhan user, karena user sulit mengungkapkan atau mendeskripsikan kebutuhannya. Jika sistem bersifat komplek dan besar biaya penerapannya, manajemen dapat mengambil sikap agar sistem dievaluasi terlebih dahulu oleh pihak yang independen untuk mengetahui apakah rancangan sistem sudah sesuai dengan kebutuhan user. Melihat kondisi seperti ini, auditor perlu mempertimbangkan untuk melakukan evaluasi sistem dengan berfokus pada kebutuhan dan kepentingan manajemen.
4. Mencapai efisiensi sumberdaya, suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut. Sumberdaya seperti ini biasanya sangat terbatas adanya. Oleh karena itu, beberapa kandidat sistem (system alternatif) harus berkompetisi untuk memberdayakan sumberdaya yang ada tersebut.
Adapun tujuan yang lain adalah :
1.      Untuk memeriksa kecukupan dari pengendalian lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan, perubahan yang tidak dikehendaki.
2.      Untuk memastikan bahwa sistem informasi yang dihasilkan benar-benar sesuai dengan kebutuhan sehingga bisa membantu organisasi untuk mencapai tujuan strategis.

Tahapan Audit Sistem Informasi

Perencanaan (Planning)

Tahap perencanaan ini yang akan dilakukan adalah menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi dari hasil audit dan komunikasi dengan managen pada organisasi yang bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan investigasi.

Perencanaan meliputi beberapa aktivitas utama, yaitu:
·         Penetapan ruang lingkup dan tujuan audit
·         Pengorganisasian tim audit
·         Pemahaman mengenai operasi bisnis klien
·         Kaji ulang hasil audit sebelumnya
·         Penyiapan program audit

Pemeriksaan Lapangan (Field Work)

Tahap ini yang akan dilakukan adalah pengumpulan informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.

Pelaporan (Reporting)

Audit Sistem Informasi - Setelah proses pengumpulan data, maka akan didapat data yang akan diproses untuk dihitung berdasarkan perhitungan maturity level. Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara, survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.

Tindak Lanjut (Follow Up)

Tahap ini yang dilakukan adalah memberikan laporan hasil audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk perbaikan dimasa yang akan datang.

Menurut Weber (2001), tahapan-tahapan audit sistem informasi terdiri dari:

Investigasi dan Penyelidikan Awal

Merupakan tahapan pertama dalam audit bagi auditor eksternal yang berarti menyelidiki dari awal atau melanjutkan yang ada unutk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai melaukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien dan mengidentifikasi area resiko.


Referensi :
http://ridwansantosoug.blogspot.co.id/2014/11/pengertian-audit-sistem-informasi.html
http://www.kajianpustaka.com/2014/02/audit-sistem-informasi.html
https://anjaruntoro.wordpress.com/2013/01/24/tahap-tahap-dalam-audit-teknologi-sistem-informasi/